kubernetes 中的 RSA 私钥对攻击者来说有多大价值?
How valuable is the RSA private key in kubernetes for an attacker?
我目前正在使用 kubernetes 并阅读了一个安全问题 (cve-2018-18264),在该问题中可能会未经授权访问仪表板机密(证书加上 RSA 私钥)。
现在我想知道 RSA 私钥和证书对于攻击者(尤其是在 kubernetes 中)有多大价值?有人可以告诉我吗?
如果使用 Diffie-Helman 进行密钥交换呢?
如 CVE-2018-18264: Kubernetes Dashboard TLS Certificate Leak 所述。
Description
Kubernetes Dashboard before 1.10.1 allows attackers to bypass authentication and use Dashboard’s Service Account for reading secrets within the cluster.
因此,如果您部署了一个应用程序,让我们采取这个 Mysql Wordpress deployment,攻击者可能会访问您的数据库登录名和密码。
此外,如果您使用机密作为应用程序之间的身份验证,攻击者可能会使用 MITM 攻击。
DH 不再被认为是安全的。
...
However, research published in October 2015 suggests that the parameters in use for many DH Internet applications at that time are not strong enough to prevent compromise by very well-funded attackers, such as the security services of large governments.[3]
Paper talking about this is Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice
我目前正在使用 kubernetes 并阅读了一个安全问题 (cve-2018-18264),在该问题中可能会未经授权访问仪表板机密(证书加上 RSA 私钥)。
现在我想知道 RSA 私钥和证书对于攻击者(尤其是在 kubernetes 中)有多大价值?有人可以告诉我吗?
如果使用 Diffie-Helman 进行密钥交换呢?
如 CVE-2018-18264: Kubernetes Dashboard TLS Certificate Leak 所述。
Description
Kubernetes Dashboard before 1.10.1 allows attackers to bypass authentication and use Dashboard’s Service Account for reading secrets within the cluster.
因此,如果您部署了一个应用程序,让我们采取这个 Mysql Wordpress deployment,攻击者可能会访问您的数据库登录名和密码。
此外,如果您使用机密作为应用程序之间的身份验证,攻击者可能会使用 MITM 攻击。
DH 不再被认为是安全的。
... However, research published in October 2015 suggests that the parameters in use for many DH Internet applications at that time are not strong enough to prevent compromise by very well-funded attackers, such as the security services of large governments.[3]
Paper talking about this is Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice