Re: Password chiave ssh e seahorse...
Mandi! Diego Zuccato In chel di` si favelave... > Questo "chiede" a gnome-keyring/seahorse di sputare la chiave che ha nel > suo db. Avanzi perlomeno una buona birra alla prima occasione! Grazie!!! Letta la password, importata la vecchia chiave nel nuovo PC. E ovviamente quando ho visto la password ho pensato: ma certo, era ovvio. ;-) -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Password chiave ssh e seahorse...
Il 26/05/2024 09:45, Davide Prina ha scritto: >> Il "giro" è che l'utente sblocca il portachiavi Seahorse al login con >> una chiave (chiamala password, se vuoi, ma nulla impedisce che sia una >> passphrase). > > secondo me ti stai confondendo o stiamo parlando di due cose differenti. Non mi pare di confondermi e non mi pare di parlare di una cosa diversa. La domanda iniziale di Marco era come recuperare la passphrase per una chiave ssh gestita tramite seahorse se si conosce la password del portachiavi. Su questo siamo d'accordo? Quello che dico io è che seahorse ha la passphrase nel suo DB e si sostituisce all'utente nel caso il portachiavi sia sbloccato. Quando riesci a fargliela "sputare" in qualche modo (decriptando il suo db o sostituendoti al processo ssh, ma c'è un metodo più semplice), poi puoi usarla direttamente per accedere alla chiave ssh senza usare seahorse. Vedi anche https://unix.stackexchange.com/questions/168062/how-to-save-an-ssh-key-passphrase-in-gnome-keyring, in particolare la risposta di Greg Bray. Snippet: PASS=$(secret-tool lookup unique ssh-store:$FILE) Questo "chiede" a gnome-keyring/seahorse di sputare la chiave che ha nel suo db. Seahorse usa il suo database, quando sbloccato (decriptato con la chiave fornita dall'utente) per recuperare la "passphrase" e decrittare la chiave segreta per ssh. è sufficiente una semplice prova, prendi la chiave privata protetta con passphase e cerca di usarla senza passare da seahorse. Mi chiede la passphrase, ovviamente. Altrimenti non sarebbe per nulla sicuro. Ti chiede la passphase e quindi questa non la gestisce seahorse, ma è quella che è stata impostata alla creazione della coppia di chiavi ed è stata usata per cifrare la chiave privata. Uh? Non capisco il senso della prova... Se non sto usando seahorse è ovvio che non la gestisca: come potrebbe? Ma se lo sto usando *e* il keyring è sbloccato, *non* me la chiede: seahorse si sostituisce a me per inserirla. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: Password chiave ssh e seahorse...
Diego Zuccato ha scritto: > Il "giro" è che l'utente sblocca il portachiavi Seahorse al login con > una chiave (chiamala password, se vuoi, ma nulla impedisce che sia una > passphrase). secondo me ti stai confondendo o stiamo parlando di due cose differenti. > Seahorse usa il suo database, quando sbloccato (decriptato con la chiave > fornita dall'utente) per recuperare la "passphrase" e decrittare la > chiave segreta per ssh. è sufficiente una semplice prova, prendi la chiave privata protetta con passphase e cerca di usarla senza passare da seahorse. Ti chiede la passphase e quindi questa non la gestisce seahorse, ma è quella che è stata impostata alla creazione della coppia di chiavi ed è stata usata per cifrare la chiave privata. Ciao Davide -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI - If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to training your model and all the source of the program that use that model
Re: Password chiave ssh e seahorse...
Il 19/05/2024 10:06, Davide Prina ha scritto: Questo se dovesse solo verificarla. Ma non può (ovviamente) usare un hash per decriptare la chiave ssh (altrimenti l'hash sarebbe la chiave di cifratura usata per la chiave segreta ssh). io pensavo che la password associata alla chiave servisse solo per darti l'accesso alla chiave e non a cifrare/decifrare tale chiave e quindi bastasse un hash. Sarebbe il massimo dell'insicurezza: un attaccante che si copi il file della chiave ssh potrebbe sostituire l'hash con quello di una password che conosce (o addirittura rimuoverlo) per poter usare tanquillamente la chiave... Tanto vale non proteggerla. Ho provato ad eseguire seahorse e per le chiavi con password non mi sembra vi sia nessun modo per poter vedere la password associata o togliere tale password o copiarla. No, infatti dalla sua interfaccia non lo prevede. Ma internamente deve poterla recuperare. Se invece vado sulle password non associate a chiavi (quello che chiama login) posso copiarmi la password e quindi vederla. Per queste è stato previsto. Mi sembra davvero strano che, se la password fosse in chiaro, seahorse non abbia previsto una modalità per potersi copiare tale password o vederla o toglierla. Probabilmente è una questione di sicurezza. Mentre la password generica è utile poterla vedere/copiare (p.e. per usarla nel browser), quella di una chiave ssh deve servire solo per sbloccare quella chiave e visto che gestisce lui il prompt non avrebbe senso permettere di vederla. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: Password chiave ssh e seahorse...
Il "giro" è che l'utente sblocca il portachiavi Seahorse al login con una chiave (chiamala password, se vuoi, ma nulla impedisce che sia una passphrase). Seahorse usa il suo database, quando sbloccato (decriptato con la chiave fornita dall'utente) per recuperare la "passphrase" e decrittare la chiave segreta per ssh. E' ovvio che il manuale di ssh-keygen ti dica che non può essere recuperata, poiché per lui è così: non è lui a doversela ricordare. Seahorse è il "post it" che ricorda la passphrase al posto tuo. Il problema è "solo" riuscire a leggere questo post-it... Il tuo errore è quindi nella frase finale: "né salvata da nessuna parte": in realtà è salvata nel DB di Seahorse (come potrebbe essere salvata in un quaderno o su un post-it). Ed è da lì che dovrebbe essere possibile recuperarla (sse si ha la possibilità di sbloccarlo). Diego Il 19/05/2024 11:15, Davide Prina ha scritto: mi sono letto un po' di documentazione in merito e faccio qui un breve riassunto di quanto capito. In questo caso si parla di passphrase e non di password. La passphrase è usata per cifrare la chiave. La passphrase non può essere recuperata in nessun modo (tranne come avevo indicato io con forza bruta e simili). $ man ssh-keygen [...] There is no way to recover a lost passphrase. If the passphrase is lost or forgotten, a new key must be generated and the corresponding public key copied to other machines. [...] L'algoritmo usato è 128-bit AES In pratica la passphrase non è altro che il valore passato all'algoritmo AES per decifrare la password privata e quindi non è salvato né l'hash della passphrase (come avevo ipotizzato io sbagliando), né salvata da nessuna parte. Ciao Davide -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI - If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to training your model and all the source of the program that use that model -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: Password chiave ssh e seahorse...
mi sono letto un po' di documentazione in merito e faccio qui un breve riassunto di quanto capito. In questo caso si parla di passphrase e non di password. La passphrase è usata per cifrare la chiave. La passphrase non può essere recuperata in nessun modo (tranne come avevo indicato io con forza bruta e simili). $ man ssh-keygen [...] There is no way to recover a lost passphrase. If the passphrase is lost or forgotten, a new key must be generated and the corresponding public key copied to other machines. [...] L'algoritmo usato è 128-bit AES In pratica la passphrase non è altro che il valore passato all'algoritmo AES per decifrare la password privata e quindi non è salvato né l'hash della passphrase (come avevo ipotizzato io sbagliando), né salvata da nessuna parte. Ciao Davide -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI - If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to training your model and all the source of the program that use that model
Re: Password chiave ssh e seahorse...
Diego Zuccato ha scritto: > Il 12/05/2024 11:42, Davide Prina ha scritto: > > secondo me non puoi ricavarti direttamente la password dimenticata in nessun > > modo, anche perché non viene mai salvata la password ma un suo hash. > Uh? > Questo se dovesse solo verificarla. Ma non può (ovviamente) usare un > hash per decriptare la chiave ssh (altrimenti l'hash sarebbe la chiave > di cifratura usata per la chiave segreta ssh). io pensavo che la password associata alla chiave servisse solo per darti l'accesso alla chiave e non a cifrare/decifrare tale chiave e quindi bastasse un hash. Ho provato ad eseguire seahorse e per le chiavi con password non mi sembra vi sia nessun modo per poter vedere la password associata o togliere tale password o copiarla. Se invece vado sulle password non associate a chiavi (quello che chiama login) posso copiarmi la password e quindi vederla. Mi sembra davvero strano che, se la password fosse in chiaro, seahorse non abbia previsto una modalità per potersi copiare tale password o vederla o toglierla. Non ho provato a fare quello che hai indicato come prova. Ciao Davide -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI - If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to training your model and all the source of the program that use that model
Re: Password chiave ssh e seahorse...
Sono anni oramai che dico che appena ho tempo studio Python, ma non sono ancora riuscito a mettermici dietro più di tanto. E i continui aggiornamenti incompatibili non aiutano... In effetti pare non esserci nulla disponibile tramite pip con nome gnomekeyring :( Alla peggio, c'è sempre la possibilità di modificare i sorgenti di Seahorse per stampare la password che va ad usare... O:) Anche se è un tantino overkill. Diego Il 15/05/2024 11:38, Marco Gaiarin ha scritto: Mandi! Diego Zuccato In chel di` si favelave... Hai già provato con lo script da http://ins3cure.blogspot.com/2012/07/extracting-gnome-keyring-credentials.html ? Urco... conosco poco il pitone, ma sembra pitone2, e quel: import gnomekeyring in cima non trova cosa importare... Seahorse deve avere nel suo db (criptato con la tua pass di login) la pass per decriptare la chiave segreta ssh... Esatto. Deve esserci un modo per cacciarla fuori... -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: Password chiave ssh e seahorse...
Mandi! Diego Zuccato In chel di` si favelave... > Hai già provato con lo script da > http://ins3cure.blogspot.com/2012/07/extracting-gnome-keyring-credentials.html > ? Urco... conosco poco il pitone, ma sembra pitone2, e quel: import gnomekeyring in cima non trova cosa importare... > Seahorse deve avere nel suo db (criptato con la tua pass di login) la > pass per decriptare la chiave segreta ssh... Esatto. Deve esserci un modo per cacciarla fuori... -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Password chiave ssh e seahorse...
Hai già provato con lo script da http://ins3cure.blogspot.com/2012/07/extracting-gnome-keyring-credentials.html ? Seahorse deve avere nel suo db (criptato con la tua pass di login) la pass per decriptare la chiave segreta ssh... Diego Il 13/05/2024 23:34, Marco Gaiarin ha scritto: Mandi! Diego Zuccato In chel di` si favelave... vecchia che poi usa per sbloccare la chiave ssh. Comunque la prova che farei è: Eh, il problema è che io prima ho creato la chiave, poi l'ho importata in seahorse... -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: Password chiave ssh e seahorse...
Mandi! Diego Zuccato In chel di` si favelave... > vecchia che poi usa per sbloccare la chiave ssh. Comunque la prova che > farei è: Eh, il problema è che io prima ho creato la chiave, poi l'ho importata in seahorse... -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797 Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA! http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000 (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Re: Password chiave ssh e seahorse...
Il 12/05/2024 11:42, Davide Prina ha scritto: secondo me non puoi ricavarti direttamente la password dimenticata in nessun modo, anche perché non viene mai salvata la password ma un suo hash. Uh? Questo se dovesse solo verificarla. Ma non può (ovviamente) usare un hash per decriptare la chiave ssh (altrimenti l'hash sarebbe la chiave di cifratura usata per la chiave segreta ssh). Ho appena provato a creare una nuova chiave ssh gestita da seahorse e me la ha creata direttamente sotto .ssh . Ovviamente la chiave nel file è criptata (protetta con la chiave di sblocco di seahorse). Se uso $ cp id_ed25519 test.key $ ssh-keygen -p -f test.key Enter old passphrase: Key has comment 'Test' Enter new passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved with the new passphrase. Il problema può essere se è stata cambiata la password di login, e quindi seahorse potrebbe aver usato la nuova pass per criptare la vecchia che poi usa per sbloccare la chiave ssh. Comunque la prova che farei è: 1) mi copio la chiave criptata su un'altra macchina 2) sulla copia, provo a cambiare la password con ssh-keygen -p -f ... 3) come vecchia password provo a dare quella di login all'altra macchina Eventualmente ripeto il punto 3 con le vecchie password (se le ho salvate da qualche parte). -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: Password chiave ssh e seahorse...
Mandi! Davide Prina In chel di` si favelave... > secondo me non puoi ricavarti direttamente la password dimenticata in nessun > modo, anche perché non viene mai salvata la password ma un suo hash. Ecco, lo sospettavo... > di importante... ti conviene rigenerarti la chiave. ...io MI sono rigenerato la chiave, semplicemente volevo portarmi dietro per un po' di tempo il vecchio '.ssh' da usarsi quando trovo un server dove non ho installato la nuova chiave e sono troppo pigro per entrare con user e password. ;-) -- E sempre allegri bisogna stare, che il nostro piangere fa male al Re fa male al ricco, al Cardinale, diventan tristi se noi piangiam...(Fo, Jannacci)
Re: Password chiave ssh e seahorse...
Il 12/05/24 11:42, Davide Prina ha scritto: Marco Gaiarin ha scritto: Sei anni fa con il portatile nuovo ho generato una nuova chiave ssh. Mi è parso sensato impostare una password, password che seahorse si è salvato. E che io mi sono dimenticato. secondo me non puoi ricavarti direttamente la password dimenticata in nessun modo, anche perché non viene mai salvata la password ma un suo hash. [CUT] Non sono sicuro che sia salvato un hash della password della chiave, ma di certo non ho trovato nell'interfaccia niente che permetta di visualizzare la password di una chiave ssh... [CUT] Secondo me, visto che per 6 anni non l'hai usata, vuol dire che non è nulla di importante... ti conviene rigenerarti la chiave. Anche io rigenererei la chiave, possibilmente in formato ed25519, che ha diversi vantaggi: https://medium.com/risan/upgrade-your-ssh-key-to-ed25519-c6e8d60d3c54 In più se usi github potresti aggiungere la chiave pubblica corrispondente all'elenco delle chiavi autorizzate, e poi prelevarti le tue chiavi pubbliche dai sistemi a cui vuoi collegarti usando un comodo |curl https://github.com/.keys saluti, Gerlos |
Re: Password chiave ssh e seahorse...
Marco Gaiarin ha scritto: > Sei anni fa con il portatile nuovo ho generato una nuova chiave ssh. Mi è > parso sensato impostare una password, password che seahorse si è salvato. E > che io mi sono dimenticato. secondo me non puoi ricavarti direttamente la password dimenticata in nessun modo, anche perché non viene mai salvata la password ma un suo hash. Gli unici modi sono: * usare brute force (sperando che avevi messo una password corta) * se te ne ricordi parte, allora esiste (esisteva) un programma che data una porzione di password riusciva in tempi minori ad applicare brute force * vedere se è stato trovato un bug di sicurezza che ti permette all'uso della chiave... dato che avevi generato la chiave 6 anni fa potrebbe essere * recuperare l'hash e da questo risalire ad una delle N password che genera tale hash Secondo me, visto che per 6 anni non l'hai usata, vuol dire che non è nulla di importante... ti conviene rigenerarti la chiave. Ciao Davide -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI - If you use this to train your AI than you accept to distribute under AGPL license >= 3.0 all the model trained, all the source you have used to training your model and all the source of the program that use that model
