SSH加入抵御边信道攻击的功能

栏目: 服务器 · 发布时间: 5年前

内容简介:过去两年曝出的硬件漏洞如

过去两年曝出的硬件漏洞如 Spectre、Meltdown、Rowhammer 和 Rambleed 能通过猜测边信道去窃取储存在内存中的密钥。

现在,流行的网络传输加密协议 SSH 引入了 抵御此类漏洞的功能 ,保护储存在内存中的密钥。

SSH加入抵御边信道攻击的功能

Secure Shell(SSH) 是由 IETF(The Internet Engineering Task Force)制定的建立在应用层基础上的安全网络协议。它是专为远程登录会话(甚至可以用Windows远程登录 Linux 服务器进行文件互传)和其他网络服务提供安全性的协议,可有效弥补网络中的漏洞。

通过SSH,可以把所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。目前已经成为Linux系统的标准配置。

SSH的安全机制

SSH之所以能够保证安全,原因在于它采用了非对称加密技术(RSA)加密了所有传输的数据。

传统的网络服务程序,如FTP、Pop和Telnet其本质上都是不安全的; 因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。 就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正的服务器。

SSH加入抵御边信道攻击的功能

但并不是说SSH就是绝对安全的,因为它本身提供两种级别的验证方法:

第一种级别(基于口令的安全验证): 只要你知道自己帐号和口令,就可以登录到远程主机。 所有传输的数据都会被加密,但是不能保证你正在连接的服务器就是你想连接的服务器。 可能会有别的服务器在冒充真正的服务器,也就是受到“中间人攻击”这种方式的攻击。

第二种级别(基于密钥的安全验证): 你必须为自己创建一对密钥,并把公钥放在需要访问的服务器上。 如果你要连接到SSH服务器上,客户端软件就会向服务器发出请求,请求用你的密钥进行安全验证。

服务器收到请求之后,先在该服务器上你的主目录下寻找你的公钥,然后把它和你发送过来的公钥进行比较。

如果两个密钥一致,服务器就用公钥加密“质询”(challenge)并把它发送给客户端软件。 客户端软件收到“质询”之后就可以用你的私钥在本地解密再把它发送给服务器完成登录。

与第一种级别相比,第二种级别不仅加密所有传输的数据,也不需要在网络上传送口令,因此安全性更高,可以有效防止中间人攻击。

变化

新的改变主要是当私钥未被使用时用对称密钥加密,而对称密钥则源自于大的随机数构成的 prekey。

对称加密算法的优点在于加解密的高速度和使用长密钥时的难破解性。

假设两个用户需要使用对称加密方法加密然后交换数据,则用户最少需要2个密钥并交换使用,如果企业内用户有n个,则整个企业共需要n×(n-1) 个密钥,密钥的生成和分发将成为企业信息部门的恶梦。

在尝试破解被保护的私钥前,攻击者必须首先高精度的恢复整个 prekey,目前的边信道都存在较大的误码率,使得恢复 prekey 变得不可能。

来源:cnbeta、Jack LDZ

SSH加入抵御边信道攻击的功能

SSH加入抵御边信道攻击的功能

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

SSH加入抵御边信道攻击的功能 点击阅读原文,了解更多!


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

疯狂Java讲义

疯狂Java讲义

李刚 / 电子工业出版社 / 2012-1-1 / 109.00元

《疯狂Java讲义(附光盘第2版)》是《疯狂Java讲义》的第2版,第2版保持了第1版系统、全面、讲解浅显、细致的特性,全面介绍了新增的Java 7的新特性。 《疯狂Java讲义(附光盘第2版)》深入介绍了Java编程的相关方面,全书内容覆盖了Java的基本语法结构、Java的面向对象特征、Java集合框架体系、Java泛型、异常处理、Java GUI编程、JDBC数据库编程、Java注释、......一起来看看 《疯狂Java讲义》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具