Hasso-Plattner-Institut
  
    • de
 

Sichere Logins von unterwegs

Um sich von unterwegs einzuloggen, ohne die Sicherheit unserer Rechner durch Paßwort-Sniffer etc. zu gefährden, gibt es zwei Möglichkeiten:

  • ssh
  • S/Key

ssh (Secure Shell)

Anwendungsbereich: Verbindung zwischen unseren Rechnern und einem vertrauenswürdigen anderen Rechner über unsichere Netzwerke.

Wesentliche Eigenschaften: ssh

     

    • Identifiziert beide Rechner mit Hilfe eines Challenge-Response-Systems gegeneinander
    • Verschlüsselt die Verbindung und (wenn man weiß, wie) auch benutzte "Nebenkanäle". (Bei X11 geht das sogar vollautomatisch, Sie brauchen kein
      xhost +blah
      mehr!)
    • Komprimiert die Datenübertragung auf Wunsch (
      ssh -C
      )
    • Ist, von den Kryptographie-bezogenen Dingen abgesehen, eine genaue Kopie von
      rsh
      ,
      rcp
      bzw.
      rlogin
      (keine Umstellung) und bietet somit sicheren Ersatz für
      telnet
      und
      FTP
      zumindestens für Unix-Rechner

     

    • Ist bei uns vorhanden, muß aber ggf. auf dem fernen Rechner nachinstalliert werden

S/Key (One Time Passwords)

Anwendungsbereich: Verbindung zwischen unseren Rechnern und nicht vertrauenswürdigen anderen Rechnern (die Vertrauenswürdigkeit des Netzwerks ist damit uninteressant).

Wesentliche Eigenschaften: S/Key

     

    • Stellt sicher, daß mit abgehörten Paßworten nichts manipuliert werden kann (da man Paßworte immer nur einmal verwenden kann)
    • Setzt keinerlei auf dem fernen Rechner installierte Software voraus
    • Kommt mit Patches für FTP (die ich noch einbauen muß), so daß auch FTP-Transfers geschützt werden können
    • Betrifft nur die Paßwort-Abfrage, jeder Service, der Logins bietet (telnet, ...), ist automatisch auch S/Key-fähig

     

    • Schützt die übertragenen Daten nicht im Geringsten (also bei einem Login keine geheimen Files lesen!)
    • Beschäftigt sich nicht mit der Frage manipulierter Client Software oder Netzwerke, bei denen Verbindungen nicht ordnungsgemäß abgebaut werden (Line Grabbing), oder der Authentisierung übertragener Daten (Piggybacking)
    • Erfordert vor und nach der Reise gewisse Vor- bzw. Nachbereitung (s. u.)
    • Läuft nur auf der Penthesilea


Benutzung von S/Key

Vor der Reise

  1. Loggen Sie sich auf der Penthesilea ein. (Jeder Rechner hat seine eigenen S/Key Paßworte und nur die Penthesilea verwendet sie auch)
  2. Erzeugen Sie einen "Satz" S/Key Paßworte.
          penthesilea:/home/TI/bern% keyinit
    Password: (Ihr normales Paßwort)
    [Adding bern]
    Enter secret password: Absolut unerratbare geheime Passphrase
    Again secret password: Absolut unerratbare geheime Passphrase
    ID bern s/key is 99 pe15289
    Next login password: DUCT CARL HURT SHUN COCO WINK
  3. Lassen Sie sich eine (genügend große; max. 99) Liste von Einmalpaßworten ausgeben; Drucken Sie sie aus und nehmen Sie sie auf die Reise mit.
          penthesilea:/home/TI/bern% key -n 5 99 pe15289 (d.h. 5 Stück)
    Enter secret password: Absolut unerratbare geheime Passphrase
    95: ANTE FIST DRAG AVIS STAN SIS
    96: RUSH DAYS PAL AMOK PUP THEN
    97: ODD LEAF DOME DINE BED DINT
    98: GLUT BUB RATE LIEU GEL DOME
    99: DUCT CARL HURT SHUN COCO WINK
    ACHTUNG: Wenn Sie sich vertippen, serviert Ihnen
    key
    kommentarlos (weil er's nicht wissen kann) einen Satz S/Key Paßworte, der nicht funktioniert!
    Probieren Sie sicherheitshalber eines aus.

Login auf der Reise

  1. Verbinden Sie sich, z. B. mit telnet, zur Penthesilea.
          snakepit:/home/victim% telnet penthesilea.uni-trier.de
    SunOS UNIX (penthesilea)
    login: bern
    [s/key 98 pe15289]
    Response:
  2. Geben Sie das verlangte S/Key Paßwort ein und streichen Sie es durch. Daß das erste "verlorengeht", ist normal; Ansonsten sollten Ihnen die Paßworte exakt in fallender Reihenfolge abgefragt werden.
          Response: glut bub rate lieu gel dome
    Last login: Thu Oct 16 21:10:35 from penthesilea
    SunOS Release 4.1.3_U1 (MailServer2) #1: Fri May 10 00:41:17 MET DST 1996
    ####################################################################
    # #
    # Welcome to the Cluster of the Theoretical CS Dpt., University #
    (etc. etc.)
  3. Wenn Ihnen auf der Reise die Paßworte ausgehen, MÜSSEN Sie eine vertrauenswürdige Verbindung von einem ebensolchen Rechner benutzen, um auf der Penthesilea einen neuen Satz S/Key Paßworte zu erzeugen und vor Ort einen Ausdruck davon anzufertigen. Die Anzahl verbliebener Paßworte (nach Zählung der Penthesilea) können Sie mit
    keyinfo
    abfragen.

Nach der Reise

Um Ihre Logins auf der Penthesilea nach Ihrer Reise wieder mit dem normalen Paßwort stattfinden zu lassen, muß Ihr Eintrag in
/etc/skeykeys
gelöscht werden - das darf aus Sicherheitsgründen nur der Systemadministrator.