ССХ: Сецуре Схелл
ССХ је скраћеница од Сецуре Схелл. Такође је познат као Сецуре Соцкет Схелл. Криптографски мрежни протокол под називом Сецуре Схелл (ССХ) користи се за безбедно управљање мрежним услугама у несигурним мрежама. Архитектура клијентског сервера је основа ССХ апликација, које повезују инстанцу ССХ клијента са ССХ сервером.
Као наследник Телнет-а и несигурних удаљених Уник схелл протокола као што је Беркелеи Ремоте Схелл (рсх) и придружени рлогин и рекец протоколи, ССХ је креиран за оперативне системе сличне Уник-у који користе небезбедну комуникацију токеном за аутентификацију отвореног текста.
Дефиниција
ССХ можемо применити на неколико различитих начина. Најједноставнија имплементација шифрује податке користећи аутоматски генерисане парове јавно-приватних кључева на оба краја комуникационог канала и мрежне везе. Након тога, он потврђује аутентичност корисника помоћу лозинке. Када корисник ручно генерише пар кључева јавног и приватног, аутентификација је практично завршена када се пар кључева успостави, што омогућава да се сесија покрене одмах без упита за лозинку.
читање из цсв датотеке у Јава
У овом случају, власник чува одговарајући приватни кључ као тајну, а јавни кључ је инсталиран на свим машинама које морају одобрити приступ власнику. Иако приватни кључ служи као основа за аутентификацију, кључ се никада не шаље преко мреже када се врши аутентикација. ССХ потврђује да провајдер јавног кључа такође држи одговарајући приватни кључ.
Повезивање непознатог јавног кључа са познатим приватним кључем у свим верзијама ССХ-а је кључно пре него што их прихватите као легитимне јавне кључеве са ИД-овима. Прихватање јавног кључа од нападача без његове валидације ће прихватити непоузданог нападача као легитимног корисника.
Стварање
Тату Илонен, компјутерски научник из Финске, први пут је креирао ССХ 1995. Даљи развој пакета протокола одвијао се у многим групама програмера, што је довело до различитих итерација имплементације. Доступне су имплементације за све популарне оперативне системе, укључујући и уграђене системе. ОпенССХ, који су креатори ОпенБСД-а учинили доступним као софтвер отвореног кода 1999. године, је најчешће коришћени софтверски стог.
Управљање ОпенССХ кључевима за аутентификацију
Одобрена листа јавних кључева се обично чува на системима сличним Уник-у у датотеци ~/.ссх/ауторизовани кључеви у корисничком кућном директоријуму, који има привилегије за даљинско пријављивање. ССХ поштује ову датотеку само ако је не може мењати нико осим власника и роот-а. Лозинка више није неопходна када су присутни и јавни кључ удаљеног краја и одговарајући приватни кључ локалног краја. Али можемо користити приступну фразу да закључамо приватни кључ за много већу заштиту. Такође можемо претраживати тајни код на уобичајеним локацијама и можемо користити опцију командне линије да обезбедимо његову комплетну путању (опција -и за ссх).
ССХ даље обезбеђује аутоматизовану аутентификацију засновану на лозинки шифрованом генерисањем кључа. Нападач у овом сценарију може имитирати поуздану страну сервера, затражити лозинку и добити је (напад човека у средини). На страни сервера можемо искључити аутентификацију лозинке.
Користите
ССХ користи парадигму клијент-сервер. Обично се ССХ користи за евидентирање. Такође може тунелирати ТЦП портове, прослеђивати Кс11 везе и извршавати команде на удаљеном систему. Обично се везе са ССХ демоном који омогућавају удаљене везе остварују помоћу ССХ клијентске апликације. Оба се често налазе на већини савремених оперативних система, као што су мацОС, Линук дистрибуције, ОпенБСД, ФрееБСД, НетБСД, Соларис и ОпенВМС. Неке верзије су власничке, бесплатне и отвореног кода са различитим степеном сложености и свеобухватности (као што су ПуТТИ и верзија ОпенССХ укључена у Цигвин и ОпенССХ). Значајно је да ССХ није подразумевано укључен у верзије оперативног система Виндовс све до верзије 1709 оперативног система Виндовс 10.
Сличну функционалност управљања датотекама (синхронизација, копирање и даљинско брисање) нуди бесплатна и Виндовс апликација отвореног кода ВинСЦП, која користи ПуТТИ као позадину. Без потребе за инсталирањем на клијентском рачунару, ВинСЦП и ПуТТИ су доступни за рад директно са УСБ диска. Омогућавање функције у апликацији за подешавања често је потребно за подешавање ССХ сервера у оперативном систему Виндовс.
За решавање проблема везаних за повезивање и спречавање безбедносних ризика директног излагања виртуелне машине засноване на облаку Интернету, ССХ је кључан у рачунарству у облаку. Сигурна веза преко Интернета може бити омогућена преко виртуелног рачунара ССХ тунела преко заштитног зида. За овај протокол, ИАНА је одредила ТЦП порт 22, УДП порт 22 и СЦТП порт 22.
Још 2001. ИАНА је класификовала подразумевани ТЦП порт 22 за ССХ сервере као један од добро познатих портова. Протокол транспортног слоја оријентисан на везу СЦТП може се користити за покретање ССХ уместо ТЦП.
Хисторицал Прогрессион
Итерација 1
Напад њушкања лозинки на мрежу његове институције инспирисао је Татуа Илонена, истраживача са Технолошког универзитета у Хелсинкију у Финској, да је створио почетну итерацију протокола (данас познат као ССХ-1) 1995. године.
ССХ је дизајниран да преузме улогу претходних протокола, укључујући рлогин, ТЕЛНЕТ, ФТП и рсх, којима су недостајале робусне гаранције аутентификације и тајности. Илонен је своју апликацију учинио доступном као бесплатни софтвер. У јулу 1995. уређај је брзо постао омиљен. До краја 1995. било је 20.000 ССХ корисника распоређених у 50 различитих нација.
стринг ти инт
Да би промовисао и унапредио ССХ, Илонен је успоставио ССХ Цоммуницатионс Сецурити у децембру 1995. Различите компоненте бесплатног софтвера, укључујући ГНУ либгмп, коришћене су у првом издању ССХ програма, али су касније итерације које је обезбедио ССХ Цоммуницатионс Сецурити прерасле у софтвер који је све више заштићен. Према проценама, до 2000. године било је 2 милиона корисника.
Итерација 2
Радна група за Интернет инжењеринг (ИЕТФ) је у својој званичној документацији означила радну групу задужену за креирање ССХ протокола верзије 2 као 'Сецсх'.
ССХ-2, побољшана итерација протокола, постао је стандард 2006. ССХ-1 није компатибилан са овом верзијом. ССХ-2 нуди функционалност и безбедносне надоградње у односу на ССХ-1. На пример, размена кључева Диффие-Хеллман и робусна верификација интегритета путем кодова за аутентификацију порука пружају већу сигурност. Могућност управљања неограниченим бројем схелл сесија преко једне ССХ везе је једна од нових могућности ССХ-2. Пошто је ССХ-2 напреднији и широко коришћен од ССХ-1, одређене имплементације, као што су либссх (в0.8.0+), Лсх и Дропбеар, подржавају само ССХ-2.
Итерација 1.99
РФЦ 4253 је захтевао да ССХ сервер који подржава 2.0, као и раније верзије, треба да наведе своју верзију протокола као 1.99 у јануару 2006. године, много након што је верзија 2.1 развијена. Овај број верзије се користи да укаже на компатибилност уназад, а не да представља претходну ревизију софтвера.
ОССХ и ОпенССХ
Откако је последња верзија оригиналног ССХ програма, верзија 1.2.12, дистрибуирана под лиценцом отвореног кода 1999. године, програмери су радили на бесплатној верзији софтвера. Ово је коришћено као основа за ОССХ програм Бјорна Гронвала. Убрзо након тога, ОпенБСД тим је клонирао Гронваллов рад на производњи ОпенССХ-а, који је био укључен у ОпенБСД издање 2.6. Направили су грану 'преносивости' из ове верзије за пренос ОпенССХ-а на различите оперативне системе.
Најраспрострањенија имплементација ССХ-а од 2005. године била је ОпенССХ, подразумевана верзија у многим дистрибуцијама оперативног система. Након уклањања подршке за ССХ-1 из базе кода у издању ОпенССХ 7.6, ОпенССХ се још увек ажурира и подржава ССХ-2 протокол. У међувремену, ОССХ више није релевантан.
Користи
Корисник 'јосх' је 'ССХед' са локалног рачунара 'фоо фигхтер' на удаљену машину 'тенгвар' да би покренуо кеиес као пример тунелирања Кс11 програма кроз ССХ. Људи користе Виндовс ССХ клијент ПуТТИ за приступ ОпенВрт-у.
ССХ је протокол који ради са многим системима, укључујући Мицрософт Виндовс и већину Уник варијација (Линук, БСД, укључујући Аппле-ов мацОС и Соларис). Следећим апликацијама могу бити потребне могућности које су ексклузивне или компатибилне са одређеним ССХ клијентима или серверима. На пример, тренутно је могуће користити само ОпенССХ сервер и клијентску имплементацију ССХ протокола за конструисање ВПН-а.
- За приступ љусци на удаљеном хосту (замена Телнет-а и рлогин-а)
- За извршавање усамљене команде на удаљеном хосту (замена рсх)
- За конфигурисање аутоматизоване пријаве (без лозинке) удаљеног сервера (на пример, коришћењем ОпенССХ)
- Као потпуно функционалан шифровани ВПН, имајте на уму да само ОпенССХ клијент и сервер подржавају ову могућност.
- За пренос Кс са удаљеног домаћина (могуће преко више средњих домаћина)
- За коришћење ССХ клијената који подржавају СОЦКС протокол за претраживање Интернета преко шифроване прокси везе.
- За безбедно монтирање директоријума удаљеног сервера као система датотека на локалној машини која користи ССХФС.
- Преко једне или више од горе наведених технологија за аутоматско даљинско надгледање и администрацију сервера.
- За развој мобилних или уграђених уређаја компатибилних са ССХ.
- За заштиту механизама за пренос датотека.
Методе преноса датотека
Неколико система за пренос датотека користи Сецуре Схелл протоколе као што су
- Преко ССХ-а, Сецуре Цопи (СЦП) је развијен од РЦП протокола.
- рсинц који би требало да буде ефикаснији од СЦП-а се често користи преко ССХ везе.
- Алтернатива ФТП-у која је сигурна је ССХ Филе Трансфер Протоцол (СФТП) (не треба се мешати са ФТП-ом преко ССХ-а или ФТПС-а)
- ФИСХ, или датотеке које се преносе преко схелл протокола, представљене су 1998. године и развијене из ССХ преко Уник схелл инструкција.
- Аспера, такође познат као брзи и сигурни протокол (ФАСП), користи ССХ за команду и за пренос података, УДП портове.
Архитектура
Три различите компоненте чине слојевиту архитектуру ССХ протокола:
- Протокол контроле преноса (ТЦП) ТЦП/ИП обично користи транспортни слој (РФЦ 4253), при чему је број порта 22 издвојен као порт за слушање сервера. Овај слој имплементира шифровање, компресију, проверу интегритета, почетну размену кључева и аутентификацију сервера. Иако свака имплементација може да омогући више, она вишем слоју излаже интерфејс за пренос и пријем пакета отвореног текста до 32,768 бајтова сваки. Обично, након што је 1 ГБ података пренет или након што је прошао сат времена, шта год се прво догоди, транспортни слој организује поновну размену кључева.
- Аутентификацијом клијента се рукује преко слоја за аутентификацију корисника (РФЦ 4252), који такође нуди неколико техника аутентификације. Потврда идентитета вођена клијентом значи да ССХ клијент, а не сервер, може да тражи од корисника лозинку. Само захтеви клијента за аутентификацијом добијају одговор од сервера. Често се користе следеће технике аутентификације корисника:
Лозинка , једноставна техника провере аутентичности лозинке која укључује могућност измене лозинке. Не користи сав софтвер ову технику. - Обично подржава најмање ДСА, ЕЦДСА или РСА парове кључева јавни кључ је техника за аутентификацију засновану на јавном кључу. Друге имплементације додатно прихватају Кс.509 сертификате.
- Функција јединствене пријаве за ССХ сесије је обезбеђена преко ГССАПИ технике аутентификације, које нуде прошириви систем за руковање ССХ аутентификацијом користећи спољне механизме као што су Керберос 5 или НТЛМ. Иако ОпенССХ има функционалну имплементацију ГССАПИ, комерцијалне ССХ имплементације често интегришу ове технике за коришћење у компанијама.
- Идеја о каналима који дефинишу понуђене ССХ услуге дефинисана је слојем везе (РФЦ 4254). Можемо мултиплексирати више ССХ веза из једне. Оба преносе податке у оба смера. Захтеви за канале преносе податке ван опсега специфичне за дати канал, као што је излазни код процеса на страни сервера или промена величине прозора терминала. Поред тога, користећи величину прозора за пријем, сваки канал контролише свој ток. ССХ клијент поставља глобални захтев за прослеђивање порта на страни сервера. Типови канала који су уобичајени укључују:
- Схелл за СФТП, екец и терминалске љуске (укључујући СЦП трансфере)
- Дирецт-ТЦПИП за прослеђене везе од клијента до сервера.
- Прослеђене везе између сервера и клијента користећи форвардед-тцпип
- Да би се потврдила легитимност хоста, ССХФП ДНС запис (РФЦ 4255) нуди отиске прстију јавног кључа хоста.
Због његовог отвореног дизајна, можемо користити ССХ за широк спектар задатака поред обезбеђивања шкољки, дајући му велику свестраност.
Рањивости
ССХ-1
Због неадекватне заштите интегритета података коју обезбеђује ЦРЦ-32 у овој верзији протокола, 1998. је идентификована рањивост у ССХ 1.5 која је дозвољавала неовлашћено уметање материјала у шифровани ССХ ток. У већини имплементација, додали су закрпу познату као ССХ Цомпенсатион Аттацк Детецтор. Неколико од ових ревидираних имплементација укључивало је нову грешку у прекорачењу целог броја, омогућавајући нападачима да покрећу произвољни код са роот-ом или могућностима ССХ демона.
Мана која омогућава нападачима да промене последњи блок ИДЕА шифроване сесије пронађена је у јануару 2001. Још једна мана која је омогућила лажном серверу да проследи пријаву клијента на други сервер пронађена је истог месеца.
Због својих инхерентних рањивости, ССХ-1 се генерално сматра застарелим и треба га избегавати експлицитним уклањањем резервног ССХ-1. Већина тренутних сервера и клијената подржава ССХ-2.
Опоравак отвореног текста за ЦБЦ
Теоријска рањивост која је омогућила преузимање до 32 бита отвореног текста из блока шифрованог текста шифрованог употребом стандардне методе шифровања тог времена, ЦБЦ, откривена је у свим верзијама ССХ-а у новембру 2008. Најједноставније решење је прелазак на ЦТР, бројач моду, уместо ЦБЦ режима, што чини ССХ имуним на напад.
како да пронађем скривене апликације на андроиду
НСА осумњичена за дешифровање
Објављивање осетљивих докумената Едварда Сноудена за Дер Спиегел 28. децембра 2014. имплицира да ће Агенција за националну безбедност моћи потенцијално да декодира одређене ССХ комуникације.