Vorschlag für das SFTP Plugin

Schokomuesli · Post by *Schokomuesli » 2012-08-28, 23:21 UTC

Hallo,

Ich nutze Total Commander nun schon seit längerer Zeit mit dem SFTP Plugin.
Mich stört es, dass das Plugin nur OpenSSL Keys einlesen kann, welche schwach verschlüsselt sind.

Mein Vorschlag wäre es, dass man auch Putty Keyfiles unterstützt, welche ich auf dem System lassen könnte, da diese mit dem AES mit einer Keylength von 256 bit und CBC Blockmodus verschlüsselt sind.
Die normalen OpenSSL Schlüssel sind so viel ich weiß jedoch nur mit TripleDES verschlüsselt, weshalb ich denen nicht zutraute auf der Festplatte zu bleiben.

Und nebenbei hätte ich da noch eine Frage: Wie wird denn der private Schlüssel verarbeitet? Wird dieser noch sonstwo auf der Festplatte zwischengespeichert oder nur im Arbeitsspeicher behalten?!

Gruß,
Schokomuesli

Dalai · Post by *Dalai » 2012-08-28, 23:56 UTC

Irgendwie scheint es mir, als bringst du da etwas durcheinander.

Erstens verwendet das SFTP-Plugin OpenSSH-Schlüssel, nicht OpenSSL.
Zweitens wüsste ich nicht, an welcher Stelle irgendeiner dieser erzeugten Schlüssel irgendwas mit AES zu tun hätte. Die gängigen Algorithmen zum Generieren der Schlüssel sind RSA und DSA mit 1024 oder 2048 Bit.
Drittens ist auf der oben verlinkten Seite zu lesen, wie die Schlüssel (public und private) aus dem PuTTY-Format in Dateien kommen, die das TC-Plugin verarbeiten kann, und das funktioniert auch einwandfrei (gerade eben selbst probiert).

MfG Dalai

Schokomuesli · Post by *Schokomuesli » 2012-08-29, 00:57 UTC

Huhu,

Ich glaub da gibt es ein Missverständnis.
Mir geht es nicht um den Schlüssel selbst, sondern um die Verschlüsselung dessen, also den Passwortschutz.
Denn sonst kann man ja durch Stehlen der Datei den Key direkt nutzen. Es gibt ja die Möglichkeit ein Passwort zu setzen. Bei den OpenSSH Keys wird der RSA Key dann mit 3DES verschlüsselt, bei Puttys private Key Files mit AES. Darum geht es mir: Dass das Plugin auch direkt Puttys Keys annimmt, da die passwortgeschützten OpenSSH Keys nicht mehr zeitgemäß verschlüsselt und somit leicht knackbar sind

Gruß,

Dalai · Post by *Dalai » 2012-08-29, 01:50 UTC

Schokomuesli wrote:Mir geht es nicht um den Schlüssel selbst, sondern um die Verschlüsselung dessen, also den Passwortschutz.

Achso, das hättest du gleich zu Beginn schreiben sollen.

Bei den OpenSSH Keys wird der RSA Key dann mit 3DES verschlüsselt, bei Puttys private Key Files mit AES.

Soweit ich die mit PuTTYgen erzeugten/exportierten Schlüssel verstehe, ist das so, ja.

Darum geht es mir: Dass das Plugin auch direkt Puttys Keys annimmt, da die passwortgeschützten OpenSSH Keys nicht mehr zeitgemäß verschlüsselt und somit leicht knackbar sind

Ah, jetzt verstehe ich, worauf du hinaus willst.

Lässt du denn das Plugin das Kennwort speichern? Falls ja, hast du vermutlich eine noch viel größere Lücke als die Triple DES Verschlüsselung durch OpenSSH: die Speicherung in der sftpplug.ini, die auch nicht gerade stark zu sein scheint. Letzteres kann man vermeiden, indem man das Kennwort mit dem Masterkennwort des TC sichern und mittels AES verschlüsseln lässt (in den Eigenschaften der Verbindung einschalten).

Als viel wichtiger sehe ich aber, die Keys an einem Ort aufzubewahren, der gar nicht erst irgendwelchen fremden Fingern ausgesetzt ist, sei es von außen oder von innen.

@Ghisler: Es wird nirgendwo (gut sichtbar und schnell findbar) erwähnt, dass das Masterkennwort des TC mit AES verschlüsselt wird und außerdem fehlt die Beschreibung der Checkbox "Benutze Hauptpasswort..." der FTP-Verbindungen in der Hilfe.

MfG Dalai

Post by *ghisler(Author) » 2012-08-30, 12:54 UTC

Sie können den Putty-Agenten (Pageant) verwenden, der benutzt die Putty-Keys.