SSH è sicuro per l'autenticazione delle chiavi in una rete non sicura?

3

Configurazione:

OpenSSH in esecuzione sul mio server e JuiceSSH sul dispositivo mobile client. L'autenticazione della password è disabilitata e la chiave privata viene archiviata crittografata nella memoria dedicata JuiceSSH.

Situazione:

Desidero connettermi al mio server da una rete non sicura (ad esempio, Wi-Fi pubblico sull'autobus o nel centro commerciale). La rete è una rete aperta e non protetta, potrebbe essere possibile che terze parti malintenzionate possano intercettare la connessione e catturare i dati inviati e ricevuti.

Domanda:

Nella situazione precedente:

  • l'intercettatore può accedere al mio server?
    • se sì - come realizzerebbe quello e come potrei impedirlo?
    • se no - quale meccanismo impedisce questo tipo di attacco?
  • come cambierebbero le risposte se usassi password anziché chiavi?
posta Reverent Lapwing 20.06.2017 - 14:53
fonte

2 risposte

1

can the eavesdropper gain access to my server?

if no - what mechanism is preventing this sort of attack?

No: la connessione utilizzata per comunicare l'autenticazione è protetta da intercettazioni che utilizzano lo scambio di chiavi Diffie-Hellman come parte del processo e firma digitalmente i passaggi del protocollo come prova che la manomissione non si è verificata. Leggi quanto segue: In che modo SSH utilizza sia RSA che Diffie -Hellman?

how would the answers change if I were using passwords instead of keys?

Probabilmente una password diminuirà la "forza bruta" di accesso al server, poiché la password probabilmente sarà molto più bassa dei bit rispetto alle chiavi utilizzate.

    
risposta data 20.06.2017 - 15:01
fonte
0
  • can the eavesdropper gain access to my server?

No.

  • if no - what mechanism is preventing this sort of attack?

La crittografia a chiave pubblica. Quando ti sei connesso a quel server per la prima volta, hai archiviato la sua chiave pubblica. Con ogni altra connessione il client verifica che il server abbia la chiave privata corrispondente (richiedendo la firma di alcuni dati). Se il server fornisce una chiave diversa o non riesce a fornire una firma valida, il client non dovrebbe continuare a connettersi (non ho familiarità con JuiceSSH, ma spero che sia implementato correttamente).

  • how would the answers change if I were using passwords instead of keys?

Nessuno.

    
risposta data 20.06.2017 - 16:45
fonte

Leggi altre domande sui tag