Hat der letzte Heartbleed-Fehler Auswirkungen auf die SSH-Schlüssel, die ich generiert und zum Pushen / Ziehen von Code mit Github, Heroku und anderen ähnlichen Sites verwendet habe?
Muss ich die von mir verwendeten Schlüssel ersetzen?
Hat der letzte Heartbleed-Fehler Auswirkungen auf die SSH-Schlüssel, die ich generiert und zum Pushen / Ziehen von Code mit Github, Heroku und anderen ähnlichen Sites verwendet habe?
Muss ich die von mir verwendeten Schlüssel ersetzen?
Antworten:
Nein, Heartbleed wirkt sich nicht wirklich auf SSH-Schlüssel aus, sodass Sie die von Ihnen verwendeten SSH-Schlüssel wahrscheinlich nicht ersetzen müssen.
Erstens sind SSL und SSH zwei verschiedene Sicherheitsprotokolle für zwei verschiedene Zwecke. Ebenso sind OpenSSL und OpenSSH auch zwei völlig unterschiedliche Softwarepakete, trotz der Ähnlichkeiten in ihren Namen.
Zweitens führt der Heartbleed-Exploit dazu, dass der anfällige OpenSSL TLS / DTLS-Peer zufällige 64 KB Arbeitsspeicher zurückgibt, der jedoch mit ziemlicher Sicherheit auf den für diesen OpenSSL-Prozess verfügbaren Arbeitsspeicher beschränkt ist. Wenn dieser OpenSSL-Prozess keinen Zugriff auf Ihren privaten SSH-Schlüssel hat, kann er nicht über Heartbleed weitergeleitet werden.
Außerdem legen Sie Ihren öffentlichen SSH- Schlüssel in der Regel nur auf Servern ab, zu denen Sie über SSH eine Verbindung herstellen. Wie der Name schon sagt, können Sie einen öffentlichen Schlüssel veröffentlichen. Es ist egal, wer es weiß. In der Tat möchten Sie, dass die Öffentlichkeit Ihren richtigen öffentlichen Schlüssel kennt.
Vielen Dank an @Bob für den Hinweis, dass die Sicherheitsanfälligkeit Client-Apps betreffen kann, die anfällige Versionen von OpenSSL als clientseitige TLS / DTLS-Bibliothek verwenden. Wenn beispielsweise Ihr Webbrowser oder Ihr SSL-basierter VPN-Client eine anfällige Version von OpenSSL verwendet und eine Verbindung zu einem böswilligen Server hergestellt hat, könnte dieser böswillige Server Heartbleed verwenden, um zufällige Auszüge aus dem Speicher der Client-Software anzuzeigen. Wenn diese Client-App aus irgendeinem Grund eine Kopie Ihrer privaten SSH-Schlüssel im Speicher hat, kann dies über Heartbleed passieren.
Ich habe keine andere Software als SSH im Kopf, die eine Kopie Ihres unverschlüsselten privaten SSH-Schlüssels im Speicher haben könnte. Das setzt voraus, dass Sie Ihre privaten SSH-Schlüssel auf der Festplatte verschlüsselt halten. Wenn Sie Ihre privaten SSH-Schlüssel nicht auf der Festplatte verschlüsselt haben, hätten Sie wahrscheinlich ein OpenSSL TLS-verwendendes Dateiübertragungs- oder Sicherungsprogramm zum Kopieren oder Sichern Ihres Home-Verzeichnisses über das Netzwerk (einschließlich Ihres ~/.ssh/id_rsa
oder eines anderen privaten SSH-Schlüssels) verwenden können ), dann könnte sich eine unverschlüsselte Kopie Ihres privaten SSH-Schlüssels im Speicher befinden. Wenn Sie Ihren unverschlüsselten privaten SSH-Schlüssel auf einem böswilligen Server sichern, haben Sie wahrscheinlich größere Sorgen als Heartbleed. :-)
"Zweitens führt der Heartbleed-Exploit dazu, dass der anfällige OpenSSL TLS / DTLS-Peer zufällige 64 KB Arbeitsspeicher zurückgibt, aber mit ziemlicher Sicherheit ist er auf den für diesen OpenSSL-Prozess verfügbaren Arbeitsspeicher beschränkt."
Wenn die Maschine kompromittiert wird, wie können Sie dann irgendetwas darauf vertrauen, einschließlich ssh? von heartbleed.com
"Was leckt in der Praxis?
Wir haben einige unserer eigenen Dienste aus der Sicht eines Angreifers getestet. Wir griffen uns von außen an, ohne eine Spur zu hinterlassen. Ohne die Verwendung privilegierter Informationen oder Anmeldeinformationen konnten wir die geheimen Schlüssel für unsere X.509-Zertifikate, Benutzernamen und Kennwörter, Sofortnachrichten, E-Mails sowie geschäftskritische Dokumente und die Kommunikation stehlen. "
Möglicherweise hat jemand einen privaten Schlüssel ohne Passphrase auf einem Server abgelegt, von dem angenommen wurde, dass er nicht böswillig ist. b / c SSL-Fehler erlaubte es einem Benutzer, sein Passwort auszugeben, ein Benutzer, der 'sudo' hatte ... es ist wahrscheinlich kein Problem ... aber ...
Leute machen manchmal verrückte Sachen
http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/