Heartbleedはsshキーに影響しますか?


40

最近のHeartbleedのバグは、Github、Heroku、および他の同様のサイトでコードをプッシュ/プルするために生成および使用したsshキーに影響しますか?

使用していたキーを交換する必要がありますか?

回答:


47

いいえ、Heartbleedは実際にはSSHキーに影響を与えないため、使用しているSSHキーを交換する必要はないでしょう。

まず、SSLとSSHは2つの異なる用途のための2つの異なるセキュリティプロトコルです。同様に、OpenSSLとOpenSSHも、名前が類似しているにもかかわらず、まったく異なる2つのソフトウェアパッケージです。

第二に、Heartbleedエクスプロイトにより、脆弱なOpenSSL TLS / DTLSピアはランダムな64kBのメモリを返しますが、OpenSSLを使用するプロセスからアクセス可能なメモリにほぼ確実に制限されます。OpenSSLを使用するプロセスがSSHプライベートキーにアクセスできない場合、Heartbleedを介してリークすることはできません。

また、通常、SSH を使用して接続するサーバーにのみSSH 公開キーを配置します。名前が示すように、公開キーは公開可能なキーです。誰が知っているかは関係ありません。実際、正しい公開鍵を知ってほしいのです

この脆弱性は、脆弱なバージョンのOpenSSLをクライアント側のTLS / DTLSライブラリとして使用するクライアントアプリに影響を与える可能性があることを指摘してくれた@Bobに感謝します。たとえば、WebブラウザまたはSSLベースのVPNクライアントがOpenSSLの脆弱なバージョンを使用し、悪意のあるサーバーに接続した場合、その悪意のあるサーバーはHeartbleedを使用してそのクライアントソフトウェアのメモリのランダムな断片を見ることができます。何らかの理由でそのクライアントアプリのメモリにSSH秘密キーのコピーがある場合、Heartbleedを介してリークする可能性があります。

私の頭上では、メモリ内に暗号化されていないSSH秘密鍵のコピーを保持できるSSH以外のソフトウェアは考えていません。まあ、それはあなたがディスク上のSSH秘密鍵を暗号化しておくことを前提としています。SSH秘密鍵をディスク上で暗号化していない場合、OpenSSL TLSを使用したファイル転送またはバックアッププログラムを使用して、ネットワーク経由でホームディレクトリをコピーまたはバックアップすることができたと思われます(あなた~/.ssh/id_rsaまたは他のSSH秘密鍵を含む))、その後、メモリにSSH秘密鍵の暗号化されていないコピーを保持できます。繰り返しになりますが、暗号化されていないSSH秘密キーを悪意のあるサーバーにバックアップしていた場合、Heartbleedよりも大きな心配があります。:-)


3
パブリックコメントは本当に無関係であることに注意してください-Heartbleedはクライアントとサーバーの両方に影響します。ただし、SSHは異なり、この特定の脆弱性の影響を受けないという点で正しいです
ボブ14

1
@Bobありがとう、Heartbleedの記事はサーバーに集中しているので、クライアント側の影響に気付いていませんでした。より適切に対処するために回答を更新しました。Heartbleedに脆弱なプロセスが漏洩する可能性があるため、SSH秘密鍵をどこかに残しておく人はほとんどいないと思います。
Spiff 14

1
SSHは暗号化にOpenSSLライブラリを使用していることに言及する必要があります。ただし、指摘したように、sshは別のプロトコルであるため、ハートブリードのエクスプロイトの影響を受けません。
psibar

1

「第二に、Heartbleedエクスプロイトにより、脆弱なOpenSSL TLS / DTLSピアがランダムな64kBのメモリを返しますが、OpenSSLを使用するプロセスからアクセス可能なメモリにほぼ確実に制限されます。」

マシンが危険にさらされた場合、sshを含む、マシン上のどのようなものを信頼できますか?heartbleed.comから

「実際にはどのようなリークがありますか?

攻撃者の観点から、独自のサービスのいくつかをテストしました。痕跡を残さずに、外部から攻撃しました。特権情報や資格情報を使用することなく、X.509証明書、ユーザー名とパスワード、インスタントメッセージ、電子メール、ビジネスクリティカルなドキュメントと通信に使用される秘密キーを盗むことができました。」

誰かが、彼らが悪意のないものと想定したサーバーに、パスフレーズなしで秘密鍵を置いたかもしれません...しかし、判明しました。b / c SSLバグにより、ユーザーのパスワード、「sudo」を持っているユーザーが許可されました...おそらく問題ではないでしょうが...

人々は時々クレイジーなことをします

http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/


この引用は、盗まれたTLSキーを使用した中間者攻撃に関するものだと思います。攻撃者は、他のプログラムからメモリにアクセスできないようにする必要があります。そうしないと、オペレーティングシステムのセキュリティ問題が明らかになります。
マシューミッチェル14

ユーザーが暗号化されていないプライベートSSHキーをサーバーに置いている場合、そのユーザーは私たちの助けを超えています。彼にpiv.pivpiv.dkへのリンクを送信します。
SPIFF
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.