On 05/03/15 13:15, Cagri Emer wrote:
> Merhaba,
Selam,
Bu tarz seylerin tartisilmasini gormek guzel. Boyle bir konuyu gundeme
getirdigin icin tesekkur etmekle baslamak istiyorum.
> Pratikte yeni olusturulmus sunucularin parmak izini cevremde tanidigim
> cogu kimse kontrol etmiyor. Sunucuya ilk baglandiklari zaman
> ~/.ssh/known_hosts altina sunucu bir kere kaydedildikten sonra sistem
> gayet duzgun calisiyor evet, fakat ilk kullanimda gercekten istedigimiz
> sunucuya baglandigimiza parmak izi kontrolu yapmadan neden guveniyoruz?
> Bunu bir atak vektoru olarak goruyor musunuz?
Bu bir atak vektoru ancak kisinin ne kadar guvenlik istedigine bagli
olarak bunun onemi artacak veya azalacaktir diye dusunuyorum. Eger onlem
aldigimiz sey "mass surveillance" ise, ilk baglanti esnasinda guvenmenin
pratik oldugunu dusunuyorum. Zaten aranan biri iseniz ve targeted
survellience yapiliyorsa, bu noktada her hareketiniz izleniyor ve
baglantiniz ISP tarafindan bir proxyden geciriliyor olabilir. MITM ile
ssh baglantiniz takip edilip, dedigin gibi ilk esnadaki baglanti da
guvensiz olabilir. Bunun icin olusturulan sunucuya baska bir yontem ile
(KVM gibi) baglanip, ssh fingerprinte bakilabilir ama halihazirda
birilerinin gozetim altinda isen sunucunun olusturulmasi asamasinda ssh
anahtarinin duzgun olusturulup olusturulmadigindan nasil emin olacaksin?
Bu noktada ozetle nereden, nasil bir saldiri beklendigi tartisilmali
bana gore. Zira ortada her durum icin, sorunu cozecek bir yontem yok.
> Yine ayni sekilde, son zamanlarda cikan keybase.io gibi hizmetleri
> saymazsak, birine sifreli bir posta yollamak istediginizde karsi tarafin
> acik anahtarini ne sekilde ediniyorsunuz? Anahtar sunuculardan
> buldugunuz anahtarin gercekten o kisinin anahtari olup olmadigini
> bilmediginiz durumlarda postanizi yollamaktan cekiniyor musunuz yoksa ne
> olursa olsun yolluyor musunuz? Peki ya size imzalanmis olarak gelen bir
> postaya, anahtarin gercekten o kisiye ait olup olmadigini
> bilmediginiz/dogrulayamadiginiz durumlarda "ilk kullanimda guvenip"
> sifrelenmis bir cevap yazar misiniz?
Karsi tarafin gonderdigi anahtarlara ontanimli olarak guvenmiyorum (yani
kendi anahtarimla bunu imzalayip sunucuya gondermiyorum). Bunun icin key
signing partileri var. Eger o kisi fiziksel olarak orda ise,
kimligi/pasaportu ile bulunuyorsa ve gpg anahtarini vermis ise kontrol
edip emin oluyorum, anahtarini imzaliyorum.
Anahtarin gercekten o kisiye ait olup olmadigini da farkli yerlerden
kontrol ediyorum. Ornek olarak twitter, kisinin web sayfasi gibi. Kisiye
yapilan herhangi bir saldiri durumunda (anahtarin benzerini uretmek vs)
o kisinin sosyal medya hesaplari, web sayfasi gibi yerlerde de
bilgilerin degistirilmesi gerektigi icin, bu gibi bir durumun tespit
edilecegini dusunuyorum. Sonraki mailde yazdigin gibi, 32bitlik parmak
izini kontrol etmek guvensiz, bu yuzden 64bitlik parmak izini sosyal
medya hesaplarina yazip, web sayfasinda eklemek daha iyi olur gibi geliyor.
PGP'yi genel olarak is amacli, parola ve ozel bilgileri e-posta ya da
baska yontemler ile gondermek icin kullaniyorum. Yuzyuze bulundugumuz
ortam oldugu icin anahtarlari duzgun bicimde kontrol edip,
imzalayabiliyoruz. Acik anahtari usb disk ile bilgisayarlarimiza
kopyaliyoruz. Is disinda baska amaclar icin sifteli haberlesmeye
ihtiyacim olmadi, muhtemelen olmayacak da :)
> Web of Trust, DNS+DNSSEC, kendi anahtar sunuculariniz, kendi PKI'nizi
> kurup S/MIME ile calismak, keybase.io gibi hizmetler arasinda secim
> yapacak olursaniz anahtar/parmak izi dagitimini guvenli hale getirmek
> icin, hangisini, neden secerdiniz?
- Web of Trust guzel ancak pratik degil. Cryptonerdler becerebilir ama
internet kullanicilarinin cok az bir kismi bunu anlayabiliyor.
- PKI kurmak pratik degil, root sertifikayi dagitmak problem, gizli
anahtarlari guvenli bir sekilde tutmak problem. Bu yuzden gerekmedikce
yapmamak gerek. Hatta etraftaki cozumlere gore guvensiz bile denebilir
bence.
- Anahtar/parmak izi dagitiminin en guvenli yolu keysigning partileri.
Fiziksel olarak orada bulun, kimligini goster, collision attacklara
karsi key sunucusundan degil, web sayfandan almalarini sagla, uzun
parmak izini ver ve karsi taraftan bunlari kontrol etmesini bekle.
- Eren
--
. 73! DE TA1AET
http://erenturkay.com/
_______________________________________________
Linux-sohbet mailing list
Linux-sohbet@liste.linux.org.tr
https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
Liste kurallari: http://liste.linux.org.tr/kurallar.php
