Tastatur die 2.
Message: 16 Date: Thu, 16 Nov 2000 23:37:31 +0100 From: Hilmar Preusse hille@rudi.urz.tu-dresden.de To: lug-dd@schlittermann.de Subject: Re: [Lug-dd] KDE2 kppp Message-ID: 20001116233731.B9440@preusse-16223.user.cis.dfn.de Reply-To: hille42@web.de Mail-Followup-To: lug-dd@schlittermann.de References: 3A12EB48.986873FC@presberger.de 20001115220@zerohero Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-md5; protocol="application/pgp-signature"; boundary="PEIAKu/WMn1b1Hv9" Content-Disposition: inline User-Agent: Mutt/1.2.5i In-Reply-To: 000d01c04fd5$c3fdea80$5113a8c0@zerohero; from joe_p@gmx.de on Thu, Nov 16, 2000 at 03:01:06PM +0100 Reply-To: lug-dd@schlittermann.de
--PEIAKu/WMn1b1Hv9 Content-Type: text/plain; charset=iso-8859-1 Content-Disposition: inline Content-Transfer-Encoding: quoted-printable
On 16.11.00 Joe R (joe_p@gmx.de) wrote: ^^^^^ Hast Du auch 'nen echten Namen? Hi,
Also, ich verbinde mich mit Tera Term Pro =FCber SSH von windows (keine comments dazu bitte) und nun funktionieren meine F-Tasten nicht mehr wie gewohnt ( Ergebnis sind Ausgaben wie ~11 )
<snip>
Wo kann ich die Tastenbelegung einstellen ? =20
Message-ID: 8u8i4o$1k72$1@ariadne.rz.tu-clausthal.de From: Christian Perle incp@rz.tu-clausthal.de Newsgroups: de.comp.os.unix.linux.misc Subject: Re: Yast via Telnet Date: 7 Nov 2000 09:31:04 GMT
Versuchs mal mit deja.com.
--> könntest du mir erklären, was mit deja.com gemeint ist ?
Also, nochmal an alle: Mein Terminal ist laut echo $TERM auf vt100 wie auch in meiner Terminalsoftware eingestellt. Hat sonst noch jemand eine Idee? Kann ich das ~11 auch irgendwie wieder in den Tastencode konvertieren ?
ein anderes Problem am rande: ich habe mir die SUSE 7 vom FTP kopiert und habe nun 4 GB in einem Verzeichniss - könnte mir irgendjemand mal die Verzeichnisstrucktur der orginal CD's mailen, damit ich es brennen kann ? Herzlichen Dank schon mal im vorraus.
Johannes Richter (Joe R)
Am Thu den 23 Nov 2000 um 12:36:51PM +0100 schrieb Joe R:
Tastatur die 2.
Message: 16 Date: Thu, 16 Nov 2000 23:37:31 +0100 From: Hilmar Preusse hille@rudi.urz.tu-dresden.de
Message-ID: 8u8i4o$1k72$1@ariadne.rz.tu-clausthal.de From: Christian Perle incp@rz.tu-clausthal.de Newsgroups: de.comp.os.unix.linux.misc
Gewoehne dir bitte ab, ganze Mails zu quoten.
--> könntest du mir erklären, was mit deja.com gemeint ist ?
Also: du weist sicherlich, was ein Webbrowser ist. Dort gibst du dann die obige URL www.deja.com ein. Dort klickst du auf UseNet. Dann suchst du nach einer Antwort auf dein Problem.
andre
Versuchs mal mit deja.com.
--> könntest du mir erklären, was mit deja.com gemeint ist ?
Das Usenet, in dem es themenbezogene Newsgroups gibt ist ein Diskussionforum, dass schon lange existiert. Du brauchst dafuer einen Newsreader z.B. Netscape/Collabra. Natuerlich brauchst musst du auch einen Newserver bei deinen Einstellungen eintragen. Die meisten Internet-Provider haben auch einen Newsserver (eigenes Protokoll, kein http). deja.com eignet sich gut zum suchen im Usenet, schreiben ist auch moeglich, aber nervig.
Also, nochmal an alle: Mein Terminal ist laut echo $TERM auf vt100 wie auch in meiner Terminalsoftware eingestellt. Hat sonst noch jemand eine Idee? Kann ich das ~11 auch irgendwie wieder in den Tastencode konvertieren ?
BTW, telnet ist absolut unsicher. Passwoerter werden im klartext uebertragen. Laesst sich leicht mit z.B. ethereal ausprobieren (Packet-sniffer). Man sollte sich das verwenden von telnet gleich ausgewoehnen und SSH verwenden.
ein anderes Problem am rande: ich habe mir die SUSE 7 vom FTP kopiert und habe nun 4 GB in einem Verzeichniss
Was hast du denn fuer eine nette Inet-Anbindung, dass du mal eben 4GB downloaden kannst? Kann man von SUSE keine ISO-Images ziehen?
On Thu, Nov 23, 2000 at 01:17:15PM +0100, Thomas Guettler wrote:
BTW, telnet ist absolut unsicher. Passwoerter werden im klartext uebertragen. Laesst sich leicht mit z.B. ethereal ausprobieren (Packet-sniffer). Man sollte sich das verwenden von telnet gleich ausgewoehnen und SSH verwenden.
Vielleicht macht er ja Telnet über SSL, IPSec oder ueber einen sonstigen verschlüselten Kanal. Dieses "telnet ist absolut unsicher" ist mittlerweise jedenfalls gewagt.
BTW: Ansätze, die Telnet,POP und sonstwas ... ueber SSL machen oder auf tieferen Schichten verschlüsseln, haben nebenbei den Vorteil, daß damit der sicherheitsrelavante Teil des Kodes *nur einmal* da ist und und von allen Programmen genutzt wird. Der gut zu prüfende Kode ist also deutlich kleiner als es heute der Fall ist. Auf einer im Moment übliche Linux-Box hat man wahrscheinlich eine Ylonen-ssh, Apache+openssl, gnupg und Netscape drauf, und somit fuer eine große Zahl sicherheitsrelevanter Sachen *meheere* Implementierungen der gleichen Algorithmen auf der Platte und in Nutzung. Das ist auch völlig schrottig, gilt aber als hip, da allgemein "viel Cryptokram hilft viel" angenommen wird.
Reinhard
Am Donnerstag, dem 23. November 2000 um 14:01:28, schrieb Reinhard Foerster:
Auf einer im Moment übliche Linux-Box hat man wahrscheinlich eine Ylonen-ssh, Apache+openssl, gnupg und Netscape drauf, und somit fuer eine große Zahl sicherheitsrelevanter Sachen *meheere* Implementierungen der gleichen Algorithmen auf der Platte und in Nutzung. Das ist auch völlig schrottig, gilt aber als hip, da allgemein "viel Cryptokram hilft viel" angenommen wird.
Hmm, es gibt aber ein paar Unterschiede. Gnupg ist eher so angelegt, dass es auch in vielen Jahren noch als sicher gilt. Die anderen Sachen dienen eher dazu, heute einigermassen verlaesslich zu verschluesseln. Ssh hat gegenueber ssl den Vorteil, dass man seine Schluessel mit anderen Hosts austauschen kann, ohne auf eine CA angewiesen zu sein, waehrend ssl mehr die PNP-Variante ist - fuer die DAUs eben ;-).
Also alles kann man sicher nicht vereinheitlichen und auf einen einzigen Algorithmus bringen, wobei deine Motivation schon zu verstehen ist.
Torsten
On Thu, Nov 23, 2000 at 02:24:09PM +0100, Torsten Werner wrote:
Hmm, es gibt aber ein paar Unterschiede. Gnupg ist eher so angelegt, dass es auch in vielen Jahren noch als sicher gilt. Die anderen Sachen dienen eher dazu, heute einigermassen verlaesslich zu verschluesseln.
Das betrifft aber nur die symmetrischen session keys. Die geheimen asymmetrischen Schlüsel sind bei ssh und SSL genauso auf Dauerhaftigkeit angelegt wie bei gnupg. Bei allen drei Dingen werden deshalb auch die gleichen Algorithmen (RSA oder DSA) mit aehnlichen Schlüssellängen verwandt.
Ssh hat gegenueber ssl den Vorteil, dass man seine Schluessel mit anderen Hosts austauschen kann, ohne auf eine CA angewiesen zu sein, waehrend ssl mehr die PNP-Variante ist - fuer die DAUs eben ;-).
Falsch. Wie kommt wohl bei ssh der public-host-key des Zielrechners bei der ersten Verbindung zu diesem Host zu dir? Holst du dir diesen Key vom Admin des jeweiligen Rechners auf Diskette ab? Sicher nicht. Die ssh holt ihn netterweise für dich übers Netz und fragt dich: --- Host key not found from the list of known hosts. Are you sure you want to continue connecting (yes/no)? yes --- Wenn du jetzt 'yes' tippst vertraust du blind(!!!) das dies der key des gewünschen Hosts ist. SSH macht sich einfach keine Birne darüber, wie der initiale Austausch der public keys passiert und geht dieser schief, ist der ganze Rest sinnlos. Der *Nutzer* muss sich darum kümmern, dass dieser Schlüsselaustausch authentisch passiert. In der Praxis klappt das natürlich nicht, das Nutzer potentiell faul sind und einfach möglichst scjnell den Prompt den Zielrechners in ihrem xterm sehen wollen stat sich mit den blöden Schlüsseln rumzuschlagen.
In der Praxis werden wohl in 99% der Fälle die Keys blind durch das "yes"-tippen bei der 1. Verbindung akzeptiert. Dieser Schlüsselautasch ist also reines Glück - im Gegensatz zur PKI bei SSL. Das kann man nicht als Vorteil bezeichnen, oder? (Der einzige Vorteil ist, dass der Nutzer weniger Stress hat und es trotzdem meistens gut geht. Also ein pragmatischer Kompromiß.)
Vergleich: Der 1. Austausch der Schlüssel bei der ssh ist anlog zu einem Schlüsseltausch bei SSL (also in einer PKI) mit einer CA, die einfach blind alles unterschreibt. Klar? --> Wenn nun aber die CA alles unterschreibt, kann man das Unterschreiben gleich ganz weglassen - das macht die ssh)
Solche "Spasszertifikate" werden übrigens von vielen auch auch für SSL benutzt. Die CA des CCC unterschreibt dir beispielsweise beliebige Certs. Das macht auch Sinn - man muß nur wissen wozu! (Verschlüsselung auf der Leitung ohne Authentisierung) Du kannst auch gleich alles selbst von deiner eigenen CA unterschreiben lassen und hast damit bei SSL keinen größeren Aufwand beim Schlüsseltausch mehr als bei der ssh.
Also alles kann man sicher nicht vereinheitlichen und auf einen einzigen Algorithmus bringen, wobei deine Motivation schon zu verstehen ist.
Ich will nicht nur einen Algorithmus. Ich will von jedem Algorithmus nur eine Implementierung auf meinem Rechner, die von allen Programmen genutzt wird. Das war der Punkt. Mich stört der Wildwuchs durch die vielen Programme, die alle ihren eigenen Bibliotheken mitbringen.
Reinhard
Am Donnerstag, dem 23. November 2000 um 16:30:23, schrieb Reinhard Foerster:
Falsch. Wie kommt wohl bei ssh der public-host-key des Zielrechners bei der ersten Verbindung zu diesem Host zu dir? Holst du dir diesen Key vom Admin des jeweiligen Rechners auf Diskette ab? Sicher nicht.
Wenn ich das brauche, mache ich das. Z. B. kann ich auf unseren Laptops die Hostkeys in /etc/ssh/ssh_known_hosts eintragen und jeder, der damit unterwegs ist, hat automatisch eine einigermassen sichere Verbindung. SSL waere in diesem Fall doch eher umstaendlich, oder? Natuerlich magst Du recht haben, dass das nicht der Standardfall ist. Darum ging es mir auch nicht.
Torsten
On Thu, Nov 23, 2000 at 04:11:04PM +0100, Ronny Roeller wrote:
BTW: Ansätze, die Telnet,POP und sonstwas ... ueber SSL machen
achtung: ssl wird im allgemeinen nicht mehr als besonders sicher eingestuft.
Von wem? Begründet wodurch? Quelle? (Bestimmt wurde nur mal wieder irgendwo gezeigt oder beschrieben, wie man eine einzelne falsch parametrisierte SSL-Session knackt.)
d.h. nicht das es unsicher ist, aber root-passwörter von
Wieviel Platz ist denn noch zwischen "nicht mehr als besonders sicher eingestuft" und "unsicher" :-)
wichtigen servern sollte man vielleicht doch noch sicherer verschlüsseln.
Glaub nicht alles, ohne die Details zu erfragen.
Reinhard
Von wem? Begründet wodurch? Quelle?
ja, sobald ich wieder in der bibliothek bin, suche ich das buch.
Wieviel Platz ist denn noch zwischen "nicht mehr als besonders sicher eingestuft" und "unsicher" :-)
"unsicher" läßt sich schon heute relativ problemlos komprementieren. "nicht mehr als besonders sicher" meint, daß es in absehbarer zeit ein verfahren geben wird (z.b. finden von gleichen klartexten für md5). andere verfahren wie rsa mit entsprechender schlüssellänge sind zwar mathematisch nicht sicher (falls du einen faktorisierungsalgo hast, kannst du dir ja die fieldsmadal abholen ;), aber eben nach allgemeinem verständnis als sicher zu betrachten (ob der nsa das auch so sieht?).
Glaub nicht alles, ohne die Details zu erfragen.
thanx 4U flame...
cu ronny
On Thu, Nov 23, 2000 at 05:54:21PM +0100, Ronny Roeller wrote:
Von wem? Begründet wodurch? Quelle?
ja, sobald ich wieder in der bibliothek bin, suche ich das buch.
Schön.
andere verfahren wie rsa mit entsprechender schlüssellänge sind zwar mathematisch nicht sicher (falls du einen faktorisierungsalgo hast, kannst du dir ja die fieldsmadal abholen ;), aber eben nach allgemeinem verständnis als sicher zu betrachten (ob der nsa das auch so sieht?).
Logo, assym. Krypt geht nicht theoretisch sicher. (Wobei ich statt stressiger Faktorisierung einfach den passenden secret key richtig raten würde)
Glaub nicht alles, ohne die Details zu erfragen.
thanx 4U flame...
So war das nicht gemeint. Das Wesen von SSL ist ja nicht der Kpyptoalgo an sich, sondern die Art, wie sich beide Seiten auf einen gemeinsamen Nenner einigen und dann kommunizieren. Wenn sich beide Seiten auf einen nach heutigem Verständnis unsicheren Lösung (z.B. DES) einigen, hat man zwar ein Problem, kann das aber nicht auf SSL schieben. Diese Betrachtung brachte mich zu der Antwort auf dein "unsichers SSL".
Reinhard
cu ronny
Lug-dd maillist - Lug-dd@schlittermann.de http://mailman.schlittermann.de/mailman/listinfo/lug-dd
Logo, assym. Krypt geht nicht theoretisch sicher. (Wobei ich statt stressiger Faktorisierung einfach den passenden secret key richtig raten würde)
naja, mit brute force hast du da wahrscheinlich genau so wenig erfolg wie mit faktorisierung - aber, solang keiner den beweis findet, daß die faktorisierung np-vollständig ist, könnte die faktorisierung theoretisch auch auf ein triviales problem reduziert werden.
einigen und dann kommunizieren. Wenn sich beide Seiten auf einen nach heutigem Verständnis unsicheren Lösung (z.B. DES) einigen,
rsa mit effektiv 48bit ist auch nicht viel sicherer (zumindest aus der sicht des nsa ;)
Problem, kann das aber nicht auf SSL schieben. Diese Betrachtung brachte mich zu der Antwort auf dein "unsichers SSL".
gut, dann hatte ich das mißverstanden.
cu ronny
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
Joe R -
Reinhard Foerster -
Ronny Roeller -
Thomas Guettler -
Torsten Werner