Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
OpenSSH 9.5 verschleiert Tastatureingaben
5 views
Skip to first unread message
Christian Weisgerber
Oct 4, 2023, 10:30:07 AM10/4/23
to
Das gerade veröffentlichte OpenSSH 9.5 hat nun eine Funktion bekommen,
die jahrelang immer wieder nachgefragt worden war: die Verschleierung
von Tastatureingaben.
Kleine Datenpakete, die Tastatureingaben entsprechen können, werden
in einem festen Zeitraster (Standard: alle 20ms) geschickt. Außerdem
werden hinterher noch eine zufällige Zahl Täuschungspakete geschickt.
Damit ist es einem Lauscher nicht mehr möglich, aus zeitlichem
Abstand und Anzahl von Datenpaketen Rückschlüsse auf den Inhalt zu
ziehen. Typischer Anwendungsfall: Jemand meldet sich mit ssh auf
einem fernen Rechner an und tippt dort ein Passwort ein.
Im Originaltext:
* ssh(1): add keystroke timing obfuscation to the client. This attempts
to hide inter-keystroke timings by sending interactive traffic at
fixed intervals (default: every 20ms) when there is only a small
amount of data being sent. It also sends fake "chaff" keystrokes for
a random interval after the last real keystroke. These are
controlled by a new ssh_config ObscureKeystrokeTiming keyword.
http://www.openssh.com/txt/release-9.5
--
Christian "naddy" Weisgerber na...@mips.inka.de
die jahrelang immer wieder nachgefragt worden war: die Verschleierung
von Tastatureingaben.
Kleine Datenpakete, die Tastatureingaben entsprechen können, werden
in einem festen Zeitraster (Standard: alle 20ms) geschickt. Außerdem
werden hinterher noch eine zufällige Zahl Täuschungspakete geschickt.
Damit ist es einem Lauscher nicht mehr möglich, aus zeitlichem
Abstand und Anzahl von Datenpaketen Rückschlüsse auf den Inhalt zu
ziehen. Typischer Anwendungsfall: Jemand meldet sich mit ssh auf
einem fernen Rechner an und tippt dort ein Passwort ein.
Im Originaltext:
* ssh(1): add keystroke timing obfuscation to the client. This attempts
to hide inter-keystroke timings by sending interactive traffic at
fixed intervals (default: every 20ms) when there is only a small
amount of data being sent. It also sends fake "chaff" keystrokes for
a random interval after the last real keystroke. These are
controlled by a new ssh_config ObscureKeystrokeTiming keyword.
http://www.openssh.com/txt/release-9.5
--
Christian "naddy" Weisgerber na...@mips.inka.de
Marco Moock
Oct 4, 2023, 10:35:43 AM10/4/23
to
Am 04.10.2023 um 14:10:45 Uhr schrieb Christian Weisgerber:
> Jemand meldet sich mit ssh auf einem fernen Rechner an und tippt dort
> ein Passwort ein.
Inwiefern kann ein Angreifer das nutzen?
> Jemand meldet sich mit ssh auf einem fernen Rechner an und tippt dort
> ein Passwort ein.
Solange der keinen Zugriff auf den privaten Schlüssel hat, sollte der
doch von den Daten keinen Nutzen haben, oder?
Marcel Mueller
Oct 4, 2023, 10:52:36 AM10/4/23
to
Am 04.10.23 um 16:35 schrieb Marco Moock:
Naja, es gibt eine Einschränkung des Lösungsraumes. Man kennt die Länge
des Passworts und ggf. auch noch ein paar Korrelationen, denn bei
unterschiedlichen Buchstabenpaaren schwankt der zeitliche Abstand
statistisch etwas. Das hängt zwar vom Eingabesystem ab, einhändig,
zweihändig, zehn Finger, aber das manifestiert sich auch im Timing.
Marcel
des Passworts und ggf. auch noch ein paar Korrelationen, denn bei
unterschiedlichen Buchstabenpaaren schwankt der zeitliche Abstand
statistisch etwas. Das hängt zwar vom Eingabesystem ab, einhändig,
zweihändig, zehn Finger, aber das manifestiert sich auch im Timing.
Marcel
Christian Weisgerber
Oct 4, 2023, 12:30:06 PM10/4/23
to
On 2023-10-04, Marco Moock <mm+use...@dorfdsl.de> wrote:
>> Jemand meldet sich mit ssh auf einem fernen Rechner an und tippt dort
>> ein Passwort ein.
>
> Inwiefern kann ein Angreifer das nutzen?
Da verweise ich auf einen Aufsatz von 2001:
>> Jemand meldet sich mit ssh auf einem fernen Rechner an und tippt dort
>> ein Passwort ein.
>
> Inwiefern kann ein Angreifer das nutzen?
"Timing Analysis of Keystrokes and Timing Attacks on SSH"
https://www.usenix.org/conference/10th-usenix-security-symposium/timing-analysis-keystrokes-and-timing-attacks-ssh
0 new messages