HTML 5 SSH開発覚書--トランスポート層

1193 ワード

トランスポートレイヤ
  • SSHパッケージングと検証
  • > tcpdump host  -s 65535 -w 
    

    終了後、CTRL+Cはtcpdumpを終了し、wiresharkでpcapファイルを開くとよい.前の交渉プロセスと交渉結果について、これを検証することができ、便利で、効率的です.
  • 鍵交換と通信の解釈
  • KeyExchangeには鍵交換時のアルゴリズムがリストされており、sshにおけるすべての鍵交換方式はdiffie-hellmanアルゴリズムであるが、選択された計算生成元とHASHのアルゴリズムは異なる
  • である.
  • Cipher鍵交換後に暗号化されるアルゴリズムは,いずれも対称暗号化されたアルゴリズムである.なお、aesxxx−gcmにおけるgcmもHMACのアルゴリズム
  • を決定する
  • HMACは暗号化前のデータを要約計算し、通信データが改ざんされないことを保証する.注意aesxxxを選択した場合[email protected]自体が暗号化終了後に含むHMACの結果
  • であるため、交渉中にHMACはNoneである.
  • HostKey SSH serverは、交換する鍵の値をHostKeyで署名し、client側で交換する鍵を計算した後、HostKeyのPublicKeyおよび署名後のデータで自分が計算した鍵の値を検証する必要がある
  • .
  • ssh client特定のKex、Host-KeyおよびCipher
  • を選択
    > ssh -o KexAlgorithms=ecdh-sha2-nistp521 -o HostKeyAlgorithms=ecdsa-sha2-nistp256 \
    > -c aes128-ctr @
    
  • 既知のHost証明書を削除
  • ssh-keygen -f  -R 
    
  • AES-GCMと[email protected]の違いと注意事項
  • HMACが
  • を使用するかどうか
  • Packet Lengthの暗号化No
  • invocation_counterの問題
  • block_counterの問題