From: Fatih Ozavci (fatih.ozavci@superonline.com)
Date: Thu 28 Jun 2001 - 20:53:26 EEST
On Thu, 28 Jun 2001 13:22:31 +0300
Burak DAYIOGLU <dayioglu@metu.edu.tr> wrote:
> 9> > oturum sifresi uzerinde uzlasmak icin client, server'in public
> key'i ile
> 9> > oturum sifresini sifreleyip gonderecek. Siz neyi ve nasil
> goreceksiniz?
Bir kac onceki mailde demistim ki
Eger server'in public sertifikasi, clientin public ve private sertifikasi ayni diskte ise ve ben 3 unude alabiliyorsam o zaman datanin sifrelerini clientin cozdugu kadar cozebilirim... :-) yani MITM atak yapiyorsam server bana data gonderir ben clientmis gibi acar clienta acilmamis halini clienta forward eder sonra da clientin gonderdigini servera forward ederim.. :-) yanlismi ? offline sertifika kullanmamizin amaci sertifikanin networkte gezmemesini saglamak degilmi ? clientin bilgisayarinda sabitse daha kolay olmazmi ? yada aramizda bir yanlis anlasilmami soz konusu ?...
Galiba hakkatten yanlis anlasmisiz... bende buyuk ihtimal kabizlik var.. :-) simdi oncelikle bir konuyu teyit edelim... client gonderdigi datayi serverin public keyi, kendi public keyi ve private keyi ile imzalar... server ise kendi private keyi ile acar ve gonderirkende kendi private keyi , public keyi ve clientin public keyi ile imzalar... simdi buralarda sifrelerken clientta serverda sifre ve imza icin kendi private keylerini kullanir... ancak karsi tarafa sonucta bu bilgi verilmez... onlarin kendi public keyiyle de imzalandigi icin private keyle rahatlikla acarlar... boylece ortada sadece public keyler doner... simdi ben yanlis bilmiyor isem ve durum buysa (ki yanlis bilmem dogaldir , aydinlatin mutlaka) client da serverda gonderdikleri datayi minimum kendi private ve hedef public keyleriyle imzaladigina gore bu datayi acamaz , acmasi gerektigi durumlarda kendi public keyiylede sifreleme yapmis olmalidir...
Eger Client hedefe paket gonderiyor ve private, public ve server public keyler ile sifreliyorsa ben bunu acarim... nasil ? cunku kendi public keyiylede sifrelenmis... bende de bu uc anahtar var cunku ondan caldim... ha eger sifrelememisse sadece serverin public keyiyle sifrelenmisse .. o zaman hadi hayirli olsun ... eger anahtar degisikligi bir daha yapilmamissa bu durumda serverin clienta gonderdigi dataya bakarim... o datada clientin public keyiyle imzalandigi icinde cozebilirim cunku ben de private keyi var...
Simdi yukarida epey karisik oldu ama bunu sekil cizerek anlatamadim... umarim anlarsin... israrla soyluyorum yanlisim varsa duzelt...
Ama bir konuda haklisin zaten belirtmistim statik sertifika benim OpenSSH ve OpenSSL ile gonderdiklerimin gecersiz oldugunu soyler bu yuzden bu yontem kullanilamaz...
> Merhaba,
> Gaza gelecek bir sey yok; tartisip ogrenmeye calisiyoruz. :)
>
> Hem securityportal'daki yaziyi, hem de Dug Song'un yazdiklarini okudum.
> Yukarida basinda 9 olan
> iki satirdaki onermem icin bir yanit hala alamadim, merakla yanitinizi
> bekliyorum. :)
>
> sevgiler,
> -bd
> -----------------------------------------------------------------------
> Liste üyeliğiniz ile ilgili her türlü işlem için
> http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
>
> Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
> "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
> -----------------------------------------------------------------------
>
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------