Влияет ли Heartbleed на ssh ключи?

Возникает ли недавняя ошибка Heartbleed с ssh-ключами, которые я создал, и использовать для push / pull кода с Github, Heroku и другими подобными сайтами?

Нужно ли мне заменять ключи, которые я использовал?

2 Solutions collect form web for “Влияет ли Heartbleed на ssh ключи?”

Нет, Heartbleed на самом деле не влияет на SSH-ключи, поэтому вам, вероятно, не нужно заменять SSH-ключи, которые вы использовали.

Во-первых, SSL и SSH – это два разных протокола безопасности для двух разных целей. Аналогичным образом, OpenSSL и OpenSSH также представляют собой два совершенно разных пакета программного обеспечения, несмотря на сходство их имен.

Во-вторых, эксплойт Heartbleed заставляет уязвимый OpenSSL TLS / DTLS peer возвращать случайную 64 КБ памяти, но почти наверняка ограничивается памятью, доступной для этого процесса OpenSSL. Если этот процесс OpenSSL-доступа не имеет доступа к вашему закрытому ключу SSH, он не сможет пропустить его через Heartbleed.

Кроме того, вы обычно используете только открытый SSH-ключ на серверах, к которым вы используете SSH, и, как следует из названия, открытый ключ – это ключ, который вы можете публиковать. Неважно, кто это знает. Фактически, вы хотите, чтобы публика знала ваш правильный открытый ключ.

Благодаря @Bob за то, что эта уязвимость может повлиять на клиентские приложения, использующие уязвимые версии OpenSSL в качестве их клиентской библиотеки TLS / DTLS. Так, если, например, ваш веб-браузер или ваш клиент VPN на основе SSL использовал уязвимую версию OpenSSL и подключался к вредоносному серверу, этот вредоносный сервер мог использовать Heartbleed для просмотра случайных фрагментов памяти этого клиентского программного обеспечения. Если у этого клиентского приложения по какой-то причине была копия ваших закрытых ключей SSH в памяти, он мог бы протекать через Heartbleed.

Я не думаю о каком-либо программном обеспечении, кроме SSH, который мог бы иметь копию вашего незашифрованного секретного ключа SSH в памяти. Ну, это предполагает, что ваши личные ключи SSH зашифрованы на диске. Если вы не храните секретные ключи SSH, зашифрованные на диске, я полагаю, вы могли бы использовать какую-либо программу OpenSSL TLS, использующую передачу файлов или программу резервного копирования для копирования или резервного копирования вашего домашнего каталога по сети (включая ваши файлы ~/.ssh/id_rsa или другой секретный ключ SSH), тогда у него может быть незашифрованная копия личного ключа SSH в памяти. Опять же, если вы создавали резервную копию своего незашифрованного секретного ключа SSH на вредоносный сервер, у вас, вероятно, были большие проблемы, чем Heartbleed. 🙂

«Во-вторых, эксплойт Heartbleed заставляет уязвимый OpenSSL TLS / DTLS peer возвращать произвольную 64 КБ памяти, но почти наверняка ограничивается памятью, доступной для этого процесса OpenSSL».

Если машина попадает под угрозу, то как вы можете доверять чему-либо на ней, включая ssh? От heartbleed.com

«Какие утечки на практике?

Мы тестировали некоторые из наших услуг с точки зрения злоумышленника. Мы атаковали себя снаружи, не оставляя следов. Без использования какой-либо привилегированной информации или учетных данных мы смогли украсть у нас секретные ключи, используемые для наших сертификатов X.509, имен пользователей и паролей, мгновенных сообщений, электронных писем и бизнес-критических документов и связи. "

Кто-то мог бы поставить закрытый ключ, без кодовой фразы, на сервере, который они предполагали, не был злонамерен … но оказался. B / c Ошибка SSL позволила пользователю выйти из системы, пользователь, который имел «sudo» … его, вероятно, не проблема … но …

Люди иногда делают сумасшедшие вещи

http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/

  • Странное поведение NS в OS X - невозможно подключиться к SSH-серверу
  • Как я могу использовать SSH в «Bash on Ubuntu в Windows 10»?
  • Подключитесь к Linux по имени, а не по IP
  • Как WinSCP может предоставить пользователю sudo для выполнения scp?
  • Странные символы в терминале OSX
  • Запустите консольную программу Windows с Mac
  • Неинтерактивный одноразовый ssh ​​&& scp для 100 серверов
  • Выполнять команды с использованием sudo на удаленном сервере после входа в PuTTY через командный файл
  • Как ssh к ipv6 ubuntu в локальной сети?
  • Как пройти через это двойственное застопорившееся соединение?
  • OSX: ssh: Не удалось разрешить имя хоста: nodename или servname предоставлено или неизвестно
  • Interesting Posts
    Давайте будем гением компьютера.