[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[DDL-ML] Re: AFS



Warning: Non DDL content inside :-)

> Frage (und OT dazu): hat AFS eigentlich schon mal einer geknackt
> und unberechtigter Weise Daten gesehen/geändert?

Hier muß man zwischen Encryption und Authentication unterscheiden.

Daten gesehen: Da Verschlüsselung im Transitprotokoll per Default
ausgeschaltet ist - kein Problem (mal abgesehen davon daß man sich
erst ein Werkzeug schreiben muß) "am Draht" mitzuhören. In neueren
Klienten kann man die Verschlüsselung anschalten (fs setcrypt ...).

Daten verfälscht: Die Daten sind durch einen Checksumalgoritmus vor
Verfälschung gesichert. Die Verschlüsselung der Checksum ist nicht
das härteste auf dem Markt, aber mir ist noch kein Problem bekannt.

Anderer Daten gelesen: Das jemand den Protection Server überzeugt hätte
sich als jemand anderer auszugeben ist mir nicht bekannt. Doch werden
alle Daten die man auf einem Klient ließt auf diesem Klient gecached.
Also ist man wie üblich darauf angewiesen, daß die Klienten ordentlich
verwaltet werden. Das begrenzt aber den Personenkreis auf die, die
zu dem Klient Zugang haben. Es gab einen Bug, bei dem andere Anwender
unberechtigterweise Dateinamen (aber nicht Inhalte) sehen konnten.

Trotz daß AFS nicht die beste Verschlüsselung hat, die es gibt (die
NSA hätte da sicher überhaupt kein Problem) ist mir bis jetzt noch
nichts Ernstes bekannt. Ich bin recht sicher, davon hätte ich was
mitbekommen.

Wenn ich so heimliches Zeug hätte, daß es großen Schaden anrichtet
wenn es in falsche Hände käme würde ich das auch nicht in AFS parken
und schon gar nicht in einem anderen "genetzten" Filesystem. So für
den täglichen Gebrauch an der KTH funktioniert es aber seit 1992 ohne
Firewall.

Aktuelle Probleme (wenn man von all den alten Hüten wie NFS mal
absieht) sind SSH (Implementation, Eingrenzen des Suchraums durch
Verkehsanalyse, Hostkey Annahme) und offline Kerberos4
Wörterbuchattacken (Da gibt es doch noch Leute, die glauben Tat0rt1
sei schwer zu erraten! "Da sind ja Zahlen drin" *Kopfschütteln*)

Die meisten meiner Dateien wohnen in /afs/pdc.kth.se/home/h/haba/

Harald.