-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

On Saturday 03 August 2002 15:15, Jens Puruckherr wrote:

Am Samstag, 3. August 2002 14:38 schrieb Andreas Kretschmer:

...

Granitstein, Hammer, Meisel ;-)

Wirklich? Ja, ich kann ihn natürlich auch noch auswendiglernen. ;-)

Ebenholztafeln mit Runen drauf gingen auch noch...

Dazu kommt gerade noch ein Verständisfrage auf - von den ganze privaten und öff. Schlüsseln schwirrt mir der Kopf. Also: ich will mich einloggen auf 'gate'. Wie ich das jett mitbkommen habe, muss ich von *allen* Logins, von denen aus ich dies via public-key machen will, genau diesen an gate:.../authorized_keys2 übertragen?

Nur wenn Du von ueberall aus einen anderen Key benutzen willst.

Nun komme ich irgendwohin, wo ich noch nicht war und habe von diesem Login aus noch keinen public-key an mein gate übertragen (können). Wie komme ich dann trotzdem da rein, ohne erst heimfahren zu müssen? Ich kann ja meinen privaten Key mit mir rumtragen - siehe Frage oben - oder geht das nicht?

Schlepp Deine identity oder id_dsa auf einer Disk mit Dir rum. Der Public-Teil davon muss natuerlich in der authorized_keys von gate eingetragen sein.

Wenn Du es noch einen Tick sicherer haben willst erzeug' Dir mehrere davon und nimm jeweils einen Key mit (oder 2 auf _unterschiedlichen Disketten in _unterschiedlichen_ Taschen - der 2. als Backup, falls Dir der 1. geklaut wird). Entferne einen Key sobald Du ihm nicht mehr vertraust (z.B. noch in der selben Session im InternetCafe). Mit dieser Taktik grenzt man die Gefahr ein, dass jemand den Key waerend einer Session klaut und benutzt.

Ssh rufst Du in diesem Fall so auf: ssh -i <identityfile> user@gate

Konrad

- -- Never shown Star Trek episodes #18: Alien: "Stay here and fight!" Riker: "Whoops! I've forgotten my tricorder."

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

On Saturday 03 August 2002 19:40, Reinhard Förster wrote:

Was du hier beschreibst ist die Konstruktion eines schlechten Eimalpasswortsystems mit einer zusätzlichen (sinnlosen) Indirektion. Statt dich direkt mit einem Einmalpaßwort an gate anzumelden hast du noch ein Einmal-Schlüsselpaar mit Einmal-Passphrase dazwischen geschaltet und mußt dann noch die keys manuell entsorgen. Was bringt das?

Toll ich weiss, das mein Verfahren "flawed" ist. Praesentier mir bitte eine Loesung (z.B. wie automatisiert man das oder wie integriert man die RSA-Einmalpasswort-Karten in Linux).

Konrad

- -- BOFH excuse #397:

T-1's congested due to porn traffic to the news server.

On Sat, 03 Aug 2002 15:15:17 +0200, Jens Puruckherr wrote:

Also: ich will mich einloggen auf 'gate'. Wie ich das jett mitbkommen habe, muss ich von *allen* Logins, von denen aus ich dies via public-key machen will, genau diesen an gate:.../authorized_keys2 übertragen?

Wenn du unbedingt public-key auth machen willst - ja, zumindest thoretisch.

Nun komme ich irgendwohin, wo ich noch nicht war und habe von diesem Login aus noch keinen public-key an mein gate übertragen (können).

Per public key auth gar nicht. Von diesen Hosts aus willst du dich gar nicht auf gate per ssh mit public key authentication anmelden. Ssh mit public key auth bringt nur Sicherheit, wenn du _beiden_ Endsystemen vertrauen kann. (Satz dreimal untertreichend)

Wenn du also mal in Firma X oder einem Internetcafe unterwegs bist, dort an einem Rechner sitzt und dich mal schnell in deinen heimischen gate reinwählen willst, mußt du dich anders authentifizieren. Die public key auth von ssh ist _dafür_ _völlig_ _ungeeignet_.

Wie komme ich dann trotzdem da rein, ohne erst heimfahren zu müssen? Ich kann ja meinen privaten Key mit mir rumtragen - siehe Frage oben - oder geht das nicht?

Was willst du mit dem privaten key auf dem fremden Rechner? Willst du ihn auf den fremden Rechner draufspielen, auf diesem Rechner ein Programm, was dort zufällig ssh heißt, aufrufen und diesem brav die Passphrase für deinen Key eingeben? Da ist telnet bei gleichem Effekt deutlich stressfreier. Was anderes als Einmalpassworte fällt mir im Moment nicht ein ein, wenn du dem fremden Rechner nicht traust.

Solltest du dem anderen Rechner hingegen trauen, von dem aus du dich in gate einwählst, solltest du lediglich den public-host-key von gate dabeihaben. Dann kannst du dich per ssh mit Passwort an gate anmelden und davon ausgehen, daß du wirklich mit gate redest. Wenn du die Verbindung öfters benötigst, erstellst du auf dem fremden Rechner ein neues Schlüssel-Paar und überträgst den public key in die ~/.ssh/authorized_hosts auf gate.

Mir fällt _kein_ plausibler Grund ein, einen privaten ssh-key mal so auf gut Glück auf einer Diskette durch die Gegend zu schleppen, weil man ihn ja mal brauchen könnte. Dieser private Schlüssel sollten eigentlich auf der Kiste bleiben, wo er mal erstellt wurde. Nur public keys schleppt man durch die Gegend um irgendwas sicherheitsmäßig sinnvolles damit anzustellen.

Wenn du oft aus "feindlichen Gefilden" nach Hause sshen mußt, ist es wohl am günstigsten, dich mit einem Notebook zu bewaffnen. Dann hast du dein vertrauensvolles Notebook und den vertrauensvollen gate und kannst zwischen beiden ganz nach Lust und Laune sicher sshen.

Reinhard