1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Mehrfach genutzte…

Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

  1. Thema

Neues Thema Ansicht wechseln


  1. Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: Schattenwerk 18.02.15 - 14:01

    Würde diese Wissenslücke gerne schließen. Wie finde ich z.B. raus, welcher SSH-Key auf 1&1 Servern installiert ist ohne direkt auf dem Server zugreifen zu können?

    Schickt SSH beim Aufbau einer Verbindung mit, welche Keys akzeptiert werden oder wie schafft man so etwas?



    1 mal bearbeitet, zuletzt am 18.02.15 14:02 durch Schattenwerk.

  2. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: hannob (golem.de) 18.02.15 - 14:04

    Ja, die öffentlichen Schlüssel werden beim Handshake direkt übertragen.

    Kann man einfach ausprobieren:
    ssh-keyscan [servername]

    (In der Standardeinstellung werden nicht alle Keytypen gescannt, man-page hilft weiter)

  3. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: Schattenwerk 18.02.15 - 14:09

    Danke!

  4. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: wirry 18.02.15 - 16:22

    Ich habe auch eine Verständnisfrage:
    auf den Servern liegt doch nur der Public Key.

    Wenn also einer von vielen Servern gehackt wird, wie kann man dann auch auf die anderen zugreifen?

    Andersrum ist das klar...wenn mir dann mein private Key abhanden kommt, kann der "Dieb" danach auf viele Server zugreifen.

  5. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: a user 18.02.15 - 17:33

    wirry schrieb:
    --------------------------------------------------------------------------------
    > Ich habe auch eine Verständnisfrage:
    > auf den Servern liegt doch nur der Public Key.
    nein, natürlich liegt beides drauf, wie soll sonst der server die mit dem public key verschlüsselte antwort wieder entschlüsseln?
    >
    > Wenn also einer von vielen Servern gehackt wird, wie kann man dann auch auf
    > die anderen zugreifen?
    ich denke die frage hat scih somit erledigt.

  6. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: Ironman 18.02.15 - 17:35

    Der Artikel ist an der Stelle missverständlich formuliert.
    Es sollte eher lauten: kommt der private ssh-key für einen Server abhanden so kann auch auf die anderen zugegriffen werden

    Das hast du ja schon richtig erkannt.

    > nein, natürlich liegt beides drauf, wie soll sonst der server die mit dem
    > public key verschlüsselte antwort wieder entschlüsseln?
    Nein eben nicht das ist der knackpunkt an asymetrischer verschlüsselung.



    2 mal bearbeitet, zuletzt am 18.02.15 17:41 durch Ironman.

  7. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: wirry 18.02.15 - 17:37

    Also ich weiß nicht wie du das machst, aber ich trage bei meinen Servern/Hosts in die authorized_keys nur meinen Public Key ein...meinen privaten behalte ich schön für mich.

  8. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: Xiut 18.02.15 - 19:01

    a user schrieb:
    --------------------------------------------------------------------------------
    > wirry schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich habe auch eine Verständnisfrage:
    > > auf den Servern liegt doch nur der Public Key.
    > nein, natürlich liegt beides drauf, wie soll sonst der server die mit dem
    > public key verschlüsselte antwort wieder entschlüsseln?

    Woher nimmst du diese Information? Würde mich ehrlich interessieren. In meinen Augen scheinst du auf jeden Fall nicht viel Ahnung davon zu haben, wovon du da redest...

    Ich bin kein Experte, aber der Sinn von asymmetrisch Verschlüsslung ist es eigentlich, dass jemand nur den Public-Key hat, mit dem er zwar alles verschlüsseln, aber nicht entschlüsseln kann, damit man den Key zum entschlüsseln (Private-Key) nicht an andere weiter geben muss, die dann auf alle für einen verschlüsselte Daten zugreifen können. Derjenige der einem etwas verschlüsselt, kennt die Daten ja auf jeden Fall eh schon.

    Der Server hat ein eigenes Schlüsselpaar. Ich verschlüssel etwas mit dem Public-Key des Servers (den jeder haben kann, weil man damit nicht an Informationen gelangen kann) und der Server entschlüsselt die Daten dann mit SEINEM passenden Private-Key.
    Schickt der Server mir dann was, muss er meinen Public-Key haben, den ich eben entsprechend auf dem Server hinterlegen muss. Diese mit meinem hinterlegten Public-Key verschlüsselten Daten kann ich dann mit MEINEM Private-Key wieder entschlüsseln und muss meinen Private-Key niemandem geben.

    Vielleicht kann mich da ja ein wirklicher Experte verbessern, aber ich dachte zumindest, dass das so gemacht wird. Musste auch noch nie meinen Private-Key auf dem Server hinterlegen. Wäre ja auch irgendwie Unsinnig. Da könnte man auch einfach AES mit einem festen Key verwenden oder eine andere symmetrisch Verschlüsslung...



    1 mal bearbeitet, zuletzt am 18.02.15 19:11 durch Xiut.

  9. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: wirry 18.02.15 - 19:04

    außer dass du (a)symetrisch und (a)synchron vertauscht hast ist das auch so...daher ja auch meine ursprüngliche Frage, wurde mitlerweile ja auch von Ironman geklärt.

  10. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: Xiut 18.02.15 - 19:13

    Ja, mir fiel nicht mehr das Wort ein :D Habe es korrigiert.

    Aber gut zu wissen, dass hier wohl dann einige recht überzeugt so Unwahrheiten schreiben und eigentlich keine Ahnung haben :D



    1 mal bearbeitet, zuletzt am 18.02.15 19:27 durch Xiut.

  11. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: phre4k 18.02.15 - 21:43

    wirry schrieb:
    --------------------------------------------------------------------------------
    > Also ich weiß nicht wie du das machst, aber ich trage bei meinen
    > Servern/Hosts in die authorized_keys nur meinen Public Key ein...meinen
    > privaten behalte ich schön für mich.

    es geht um den Server-Key und nicht den Client-Key ;)

  12. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: Cyb3rfr3ak 18.02.15 - 23:55

    Ich denke er meint damit, dass der Server trotzdem auch seinen eigenen Public Key vorhanden haben muss, damit er neuen Clients diesen zusenden kann. Und seinen eigenen Private Key hat der Server sowieso und woanders sollte der ja auch nicht sein.



    1 mal bearbeitet, zuletzt am 18.02.15 23:56 durch Cyb3rfr3ak.

  13. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: MoodyMammoth 19.02.15 - 06:58

    Hi,

    natürlich hat der Server beide Keys und nimmt zum entschlüsseln den Private_Key, darum braucht der Server den Private_Key.
    Ist der Server gehackt, hast Du somit auch den Private_Key von 140.000 anderen Servern.

    a_user hat somit recht, denn der Public_key muss ja dem Anfragenden übermittelt werden, damit die Verschlüsselung erfolgen kann.



    1 mal bearbeitet, zuletzt am 19.02.15 07:02 durch MoodyMammoth.

  14. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: TobsA13 19.02.15 - 08:31

    So ein Quatsch der Server hat nur den Publickey. Es wird bei der Authentifizierung geprüft ob die Signatur des Privatkey auf deinem Rechner mit dem Publickey auf dem Server übereinstimmt. Wenn das Passiert ist wird ein neues Keypaar erzeugt und darüber läuft die Verschlüsselte Kommunikation. Aber der Privatkey kommt nie auf den Server und gehört auch auf keinen Server dieser Welt.

  15. Re: Zum Verständnis: Wie finde ich raus, welcher Key auf einem System existiert?

    Autor: Cyb3rfr3ak 19.02.15 - 10:25

    So ein Quatsch... und ein Key Paar wird da schon gar nicht erzeugt..

    1) Client verbindet sich mit Server
    2) Protokollvereinbarung
    3) Server schickt dem Client seinen Public Host Key, Public Server Key (von denen er natürlich auch den privaten Teil besitzt!), unterstützte Algorithmen und Authentifizierungsmethoden (passwort, public-key-auth, host-based)
    4) Client überprüft ob er den Host key und denn Server schon kennt bzw. wenn er den Server kennt, ob das noch der alte Host key ist (steht in ~/.ssh/known_hosts)
    5) Client erzeugt einen symmetrischen Session key und verschlüsselt diesen mit dem Public Host key UND dem Server key und schickt den verschlüsselten Session key an den Server
    6) Server kann den symmetrischen Schlüssel mit dem Private Host Key und Private Server Key entschlüsseln.
    7) Verschlüsselte Kommunikation über symmetrischen Session key
    8) Erst jetzt erfolgt die Client Authentifizierung (Passwort Eingabe oder Public Key Authentifizierung)

    Problem bei einer Kompromittierung eines server/host private keys der von mehreren Servern benutzt wird:
    Passwort Authentifikation:
    Ein Angreifer könnte Pakete mitsniffen (speziell bei Schritt 5-6) und diese mithilfe der private keys wieder entschlüsseln. Nun besitzt er den symmetrischen Session key und snifft weiter. Wenn der Client sich nun per Passwort einloggt dann Gute Nacht.

    Bei einer Public Key Authentifizierung würde der Client hier nur seinen Public user key mit dem symmetrischen Session key verschlüsselt an den Server schicken.
    Dieser überprüft ob der Public key in den gültigen keys (~/.ssh/authorized_keys) eingetragen ist. Wenn dem so ist, wird ein Diffie-Hellman Schlüsselaustausch durchgeführt. Der Client bekommt die Challenge mit seinem Public user key verschlüsselt (und auf dem Transportweg immer noch zusätzlich symmetrisch verschlüsselt) und kann diese mit seinem Private user key wieder entschlüsseln. Challenge wird durchgeführt (session identifier hinzufügen, MD5 hashen) und das Ergebnis an den Server geschickt. Der Server errechnet auch ein Ergebnis und wenn beide übereinstimmen, war die Authentifizierung erfolgreich.
    Hierbei kann der Angreifer selbst wenn er die Private keys vom Server besitzt, den Session key (Schritt 6) entschlüsseln aber kann sich trotzdem nicht gegenüber dem Server authentifizieren, da sein Public key nicht eingetragen ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. Schwarz Dienstleistung KG, Raum Neckarsulm
  3. ZIEHL-ABEGG SE, Künzelsau
  4. Stadtwerke Herborn GmbH, Herborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Far Cry 5 für 14,99€, Far Cry New Dawn für 17,99€, Far Cry für 3,99€)
  2. (-10%) 17,99€
  3. (-10%) 8,99€
  4. 3,74€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Renault City K-ZE Dacia plant City-Elektroauto
  2. Elektroautos EU-Kommission billigt höheren Umweltbonus
  3. Elektroauto Jaguar muss I-Pace-Produktion mangels Akkus pausieren

Pathfinder 2 angespielt: Abenteuer als wohlwollender Engel oder rasender Dämon
Pathfinder 2 angespielt
Abenteuer als wohlwollender Engel oder rasender Dämon

Das erste Pathfinder war mehr als ein Achtungserfolg. Mit dem Nachfolger möchte das Entwicklerstudio Owlcat Games nun richtig durchstarten. Golem.de konnte eine frühe Version des Rollenspiels bereits ausprobieren.
Von Peter Steinlechner

  1. 30 Jahre Champions of Krynn Rückkehr ins Reich der Drachen und Drakonier
  2. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

Threadripper 3990X im Test: AMDs 64-kerniger Hammer
Threadripper 3990X im Test
AMDs 64-kerniger Hammer

Für 4.000 Euro ist der Ryzen Threadripper 3990X ein Spezialwerkzeug: Die 64-kernige CPU eignet sich exzellent für Rendering oder Video-Encoding, zumindest bei genügend RAM - wir benötigten teils 128 GByte.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen Mobile 4000 (Renoir) Lasst die Ära der schrottigen AMD-Notebooks enden!
  2. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  3. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks

  1. Bose-Lautsprecher: Soundtouch- und Lifestyle-Modelle erhalten Airplay 2
    Bose-Lautsprecher
    Soundtouch- und Lifestyle-Modelle erhalten Airplay 2

    Darauf haben Bose-Kunden seit 2017 gewartet: Der Hersteller hat ein Update mit Airplay 2 für die Soundtouch- und Lifestyle-Modellreihe veröffentlicht. Neben WLAN-Lautsprechern werden auch Heimkinosysteme damit ausgestattet.

  2. Ab Sommer: App Satellite bringt eSIM als In-App-Kauf
    Ab Sommer
    App Satellite bringt eSIM als In-App-Kauf

    Erst einmal nur im Ausland, später auch in Deutschland: Die App Satellite hat die eSIM gemeistert, für Android und iOS. Doch noch nicht für alle Smartphones.

  3. Gigafactory: Grüne kritisieren Grüne Liga wegen Baumfällstopp für Tesla
    Gigafactory
    Grüne kritisieren Grüne Liga wegen Baumfällstopp für Tesla

    Tesla hat Informationen zum geplanten Werk in Brandenburg veröffentlicht, denen zufolge bis zu 12.000 Menschen in der Gigafactory Berlin Brandenburg arbeiten sollen. Derweil gehen die Grünen Umweltschützer an, die einen Rodungsstopp veranlasst haben.


  1. 08:24

  2. 08:00

  3. 07:58

  4. 07:32

  5. 07:12

  6. 18:22

  7. 18:00

  8. 17:45