O Heartbleed afeta as teclas ssh?


40

O bug recente do Heartbleed afeta as teclas ssh que eu gerei e as utilizo para enviar / receber códigos com o Github, Heroku e outros sites semelhantes?

Preciso substituir as chaves que estou usando?

Respostas:


47

Não, o Heartbleed realmente não afeta as chaves SSH, portanto você provavelmente não precisa substituir as chaves SSH que está usando.

Primeiro, SSL e SSH são dois protocolos de segurança diferentes para dois usos diferentes. Da mesma forma, OpenSSL e OpenSSH também são dois pacotes de software completamente diferentes, apesar das semelhanças em seus nomes.

Segundo, a exploração do Heartbleed faz com que o vulnerável OpenSSL TLS / DTLS peer retorne 64kB aleatórios de memória, mas é quase certamente limitado à memória acessível ao processo de uso do OpenSSL. Se esse processo de uso do OpenSSL não tiver acesso à sua chave privada SSH, não será possível vazá-lo pelo Heartbleed.

Além disso, você normalmente coloca sua chave pública SSH apenas nos servidores aos quais usa o SSH para se conectar e, como o nome indica, uma chave pública é uma chave que você pode divulgar. Não importa quem sabe. De fato, você deseja que o público conheça sua chave pública correta.

Agradecemos ao @Bob por apontar que a vulnerabilidade pode afetar aplicativos clientes que usam versões vulneráveis ​​do OpenSSL como sua biblioteca TLS / DTLS do lado do cliente. Portanto, se, por exemplo, seu navegador da Web ou seu cliente VPN baseado em SSL usasse uma versão vulnerável do OpenSSL e conectado a um servidor mal-intencionado, esse servidor mal-intencionado poderia usar o Heartbleed para ver trechos aleatórios da memória do software cliente. Se, por algum motivo, esse aplicativo cliente tiver uma cópia de suas chaves privadas SSH na memória, poderá vazar pelo Heartbleed.

Em primeiro lugar, não estou pensando em nenhum software além do SSH que possa ter uma cópia da sua chave privada SSH não criptografada na memória. Bem, isso pressupõe que você mantenha suas chaves privadas SSH criptografadas em disco. Se você não mantiver suas chaves privadas SSH criptografadas em disco, suponho que você possa ter usado algum programa de transferência ou backup de arquivos usando OpenSSL TLS para copiar ou fazer backup de seu diretório pessoal pela rede (incluindo sua ~/.ssh/id_rsaou outra chave privada SSH ), pode haver uma cópia não criptografada da sua chave privada SSH na memória. Por outro lado, se você estava fazendo backup da sua chave privada SSH não criptografada em um servidor mal-intencionado, provavelmente terá maiores preocupações do que o Heartbleed. :-)


3
Observe que o comentário público é realmente irrelevante - o Heartbleed afeta clientes e servidores. Mas você está certo de que o SSH é diferente e não é afetado por essa vulnerabilidade específica .
Bob

11
@Bob Obrigado, os registros do Heartbleed foram tão focados no servidor que eu não havia percebido as implicações do lado do cliente. Atualizei minha resposta para resolver melhor isso. Eu ainda acho que é improvável que as pessoas tenham deixado uma chave privada SSH em algum lugar em que um processo vulnerável ao Heartbleed possa vazar.
Spiff

11
Deve-se mencionar que o SSH usa a biblioteca OpenSSL para criptografia. Como você apontou, no entanto, o ssh não é afetado pela exploração heartbleed, pois é um protocolo diferente.
Psl

1

"Segundo, a exploração do Heartbleed faz com que o vulnerável OpenSSL TLS / DTLS peer retorne 64kB aleatórios de memória, mas é quase certamente limitado à memória acessível ao processo de uso do OpenSSL".

se a máquina ficar comprometida, como você pode confiar em algo, incluindo ssh? de heartbleed.com

"O que vaza na prática?

Testamos alguns de nossos próprios serviços da perspectiva do invasor. Nos atacamos do lado de fora, sem deixar vestígios. Sem usar informações ou credenciais privilegiadas, fomos capazes de roubar de nós as chaves secretas usadas para nossos certificados X.509, nomes de usuário e senhas, mensagens instantâneas, e-mails e documentos e comunicações essenciais aos negócios. "

alguém pode ter colocado uma chave privada, sem senha, em um servidor que eles supunham que não era malicioso ... mas acabou sendo. b / c bug SSL permitiu a saída de uma senha de usuário, um usuário que tinha 'sudo' ... provavelmente não é um problema .... mas ...

as pessoas fazem coisas loucas às vezes

http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/


Acho que essa citação está se referindo a um homem no meio do ataque usando as chaves TLS roubadas. Um invasor não deve conseguir acessar a memória de outros programas, caso contrário isso destaca um problema de segurança no sistema operacional.
Matthew Mitchell

Se um usuário estiver colocando sua chave SSH privada não criptografada nos servidores, ele estará além de nossa ajuda. Envie um link para piv.pivpiv.dk .
Spiff
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.