Estamos usando tacacs para AAA em nossos dispositivos de rede e estou interessado/curioso em saber como nossos dispositivos estão criptografando as senhas do lado do dispositivo.
Seguindo oManual de instruções Arista EOS, página 139, estou executando:
switch(config)#tacacs-server key 0 cv90jr1
O guia me diz que a string criptografada correspondente é 020512025B0C1D70.
switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B
Ver uma string criptografada diferente daquela que eles mencionaram me deixou curioso. Então adicionei a mesma chave mais dez vezes e dei uma olhada nas versões criptografadas:
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D
Não consegui encontrar nenhuma informação sobre isso. Estou particularmente interessado no fato de ter colidido três vezes com a chave do manual e ter outra colisão separada lá dentro. Qualquer que seja a salga que eles façam, parece não ter um domínio de entrada particularmente grande.
Então, como isso é criptografado? Se um adversário obtivesse as informações de configuração de um dispositivo (por exemplo, a saída de show running-config), quão fácil/difícil seria calcular a verdadeira chave tacacs+?
O Cisco IOS funciona da mesma maneira? Não tenho um dispositivo de laboratório da Cisco para fazer experiências com isso, mas tenho a impressão de que os recursos que a Arista achou que não precisavam ser diferentes são idênticos entre a Arista e a Cisco.
Responder1
Essa é uma codificação Cisco tipo 7. Hesito em chamá-la de criptografia, pois é um algoritmo incrivelmente fraco. Para demonstrar, coloque qualquer uma dessas strings criptografadas emesta ferramenta, e você receberá a chave secreta imediatamente.
A variabilidade na saída criptografada realmente vem de uma espécie de sal - especificamente, tfd;kfoA,.iyewrkldJKD. Essa string é constante, o que varia é o ponto inicial - os dois primeiros caracteres da string criptografada indicam onde começar a descriptografar no salt.
Veraquipara obter mais informações sobre as especificidades da implementação do algoritmo.
Responder2
Essas chaves, como Shane mencionou, dificilmente são criptografadas e são comumente reconhecidas simplesmente como uma defesa contra a visualização de chaves e senhas por cima do ombro. Na verdade, se você não tivercriptografia de senha de serviçohabilitado em um Cisco, as chaves serão em texto simples.
Geralmente, é recomendado que, se você precisar compartilhar essa configuração com alguém fora da sua organização, remova as chaves do arquivo de configuração e quaisquer outras senhas que usem o tipo 7.