Zum Inhalt springen
PhanTerm

Host-Schlüssel-Verifizierung (Host Key)

Um Man-in-the-Middle-Angriffe (MITM) abzuwehren, präsentiert ein Server bei jeder Verbindung seinen Host-Schlüssel-Fingerabdruck (Host Key Fingerprint), um seine Identität zu beweisen.

PhanTerm verfügt über einen äußerst strengen und transparenten known_hosts-Vertrauensverifizierungsmechanismus und priorisiert stets Ihre Sicherheit, falls Inkonsistenzen auftreten sollten.

Überprüfung bei der ersten Verbindung

Abschnitt betitelt „Überprüfung bei der ersten Verbindung“

Wenn Sie sich zum ersten Mal mit einem unbekannten Host verbinden, blendet PhanTerm ein Bestätigungsdialogfeld in der Bildschirmmitte ein, in dem Folgendes angezeigt wird:

  • Adresse und Port des Servers
  • Ausgehandelter Verschlüsselungsalgorithmus (Key Type, z. B. ssh-ed25519 oder ecdsa-sha2-nistp256)
  • Sicherer Hash-Fingerabdruck (SHA-256)

Sie müssen diesen Fingerabdruck überprüfen. Nachdem Sie die Vertrauensstellung mit der Taste y akzeptiert haben, speichert PhanTerm diese Kombination (host:port + key_type) sicher lokal in der Datei known_hosts.yaml.

Strenges Vertrauensmodell

Abschnitt betitelt „Strenges Vertrauensmodell“

PhanTerm wendet einen Vertrauensmechanismus an, der streng nach spezifischen Algorithmen isoliert ist:

  1. Vertrauen in mehrere Algorithmen auf demselben Host: Ein Server kann Fingerabdrücke für mehrere Algorithmen gleichzeitig bereitstellen. Wenn Sie dem RSA-Fingerabdruck eines Servers zuvor vertraut haben, dieser aber heute beim Handshake den Ed25519-Algorithmus bevorzugt, betrachtet PhanTerm dies als „neuen Schlüsseltyp“ und fordert Sie erneut zur Bestätigung auf. Das ist sicher, da ein Server legitimerweise mehrere Schlüssel für verschiedene Algorithmen gleichzeitig besitzen kann.
  2. Stilles Zulassen: Für bereits bestätigte und vertrauenswürdige Kombinationen aus host:port + key_type erfolgen nachfolgende Verbindungen sicher und ohne weitere Rückfragen.
  3. Strenge Sicherheitsblockade (Fail-Closed): Wenn Sie zuvor dem Ed25519-Schlüssel einer Maschine vertraut haben, der Host aber eines Tages einen anderen Ed25519-Schlüssel zurückgibt, wird PhanTerm die Verbindung sofort gewaltsam trennen und eine rote Sicherheitswarnung ausgeben.