অজানা / আপোস করা সার্ভারে লগইন করতে এসএসএইচ কীগুলি ব্যবহার করা কি বিপজ্জনক নয়?


9

বলুন আমি কাউকে আমার সর্বজনীন এসএসএইচ কী, id_rsa.pub সরবরাহ করি এবং সে এটি আপোশযুক্ত সার্ভারে ইনস্টল করে এবং আমাকে লগইন করতে বলা হয়।

লগইন প্রক্রিয়াটি কি আপত্তিজনক সার্ভারে আমার ব্যক্তিগত কী প্রেরণে জড়িত?

যদি হ্যাঁ, তবে আক্রমণকারীটির এখন আমার ব্যক্তিগত এসএসএইচ কীতে অ্যাক্সেস রয়েছে এবং এটি ভীতিকর।

যদি না হয় তবে আমি কেন এই লাইনটি ssh -vvv আউটপুটে দেখতে পাচ্ছি:

debug1: Server accepts key: pkalg ssh-rsa blen 277

এটি সূচিত করে যে প্রাইভেট কীটি সার্ভারে প্রেরণ করা হয়েছিল এবং এটি এটি গ্রহণ করে।

আমি কি সমস্যার ভুল বুঝছি?

উত্তর:


7

না , আপনার প্রাইভেট কীটি "প্রেরিত" বা কোথাও সঞ্চারিত নয়।

সর্বজনীন-কী ক্রিপ্টোগ্রাফি traditionalতিহ্যগত ব্যবহারকারী নাম / পাসওয়ার্ড প্রমাণীকরণের মতো নয়।

  • আপনার সর্বজনীন কী কেবল এটি - সর্বজনীন। এটি ভাগ করে নেওয়া পুরোপুরি নিরাপদ। কারও কাছে আপনার পাবলিক কী পাঠানো হতে পারে আপনার পরিচয়টি (লোকেরা জানতে পারে এটি এটি আপনার কাছ থেকে এসেছে কারণ এটি একটি অনন্য সংখ্যা) তবে এটি অন্য কাউকে কখনও আপনার ছদ্মবেশ তৈরি করতে বা আপনাকে প্রমাণীকরণের অনুমতি দেয় না। আপনি আপনার নিজের পাবলিক কীটি সুপার ইউজারে বা আপনার ওয়েবপৃষ্ঠায় নিয়মিত এইচটিটিপি-র মাধ্যমে পোস্ট করতে পারেন; কারও কাছে আপনার ব্যক্তিগত কী না থাকলে এটি পুরোপুরি নিরাপদ এবং পুরোপুরি অকেজো।

  • আপনার ব্যক্তিগত কী কেবল এটি - ব্যক্তিগত। এটি কেবলমাত্র আপনার নিজের এবং নির্ভরযোগ্য সিস্টেমে থাকে (আশাকরি), এবং সর্বদা সর্বাধিক সুরক্ষার জন্য একটি আনলক পাসওয়ার্ড সহ এনক্রিপ্ট করা উচিত, যদি কেউ তার সঞ্চিত সিস্টেমে শারীরিক অ্যাক্সেস অর্জন করে। ব্যক্তিগত কী কখনই কোনও সরকারী-প্রয়োগকৃত সুরক্ষা প্রোগ্রাম দ্বারা সরানো হয় না যা সর্বজনীন-কী ক্রিপ্টোগ্রাফির নিয়ম অনুসারে আচরণ করে। এটি হ'ল যদি না আপনার স্থানীয় সিস্টেমে এমন কোনও প্রোগ্রাম থাকে যা আপোসযুক্ত এবং আপনার ব্যক্তিগত কীটি পড়তে সক্ষম না হয় (এবং ব্যক্তিগত কী কোনও পাসওয়ার্ড দ্বারা এনক্রিপ্ট করা হয় না), আপনার ব্যক্তিগত কীটি সর্বদা নিরাপদ।

বার্তাগুলি দূরবর্তী সার্ভারে প্রেরণের আগে আপনার কম্পিউটারে প্রাইভেট কী দিয়ে স্বাক্ষরিত হয় । সুতরাং, রিমোট সার্ভারে প্রাইভেট কীটি প্রেরণ না করে আপনি একটি বার্তা প্রেরণ করছেন যা ব্যক্তিগত কী সহ এনক্রিপ্ট করা ছিল । তবে এই দুটি জিনিস এক নয়: আপনি স্বাক্ষরিত বার্তা থেকে ব্যক্তিগত কী অর্জন করতে পারবেন না ; এটি পাবলিক কী ক্রিপ্টোগ্রাফির বিন্দুর অংশ।

সংক্ষেপে, এমনকি যদি কোনও শত্রু আক্রমণকারী আপনার সর্বজনীন কীটি গ্রহণ করে এবং আপনার ব্যক্তিগত কী দ্বারা স্বাক্ষরিত বার্তাগুলি গ্রহণ করে তবে তারা আপনার প্রকৃত ব্যক্তিগত কীটি পেতে সক্ষম হবে না এবং এইভাবে তারা আপনার শংসাপত্রগুলির ছদ্মবেশ তৈরি করতে বা আপনার ব্যক্তিগত কীটি "হিসাবে প্রমাণীকরণ করতে ব্যবহার করতে পারে না আপনি".


আমি সর্বজনীন-কী ক্রিপো প্রক্রিয়াটি বুঝতে পেরেছি, তবে ডিবাগ বার্তাগুলি দ্বারা বিভ্রান্ত হয়ে পড়েছিলাম ssh। @ Pjc50 এর উত্তর থেকে আমি যে আশ্বাসটি খুঁজছিলাম তা প্রদান করা মনে হচ্ছে।
গুরজিৎ সিং

11

আপনি প্রক্রিয়াটি ভুল বুঝছেন।

কীটি প্রেরণ করা হয়নি, বরং একটি "চ্যালেঞ্জ" তৈরি করা হয়েছে জনসাধারণ কী দিয়ে এমন কিছু এনক্রিপ্ট করে যা কেবলমাত্র মিলে যাওয়া ব্যক্তিগত কী দ্বারা ডিক্রিপ্ট করা যায়।

যদি আপনি আপনার পাসওয়ার্ড জিজ্ঞাসা করে থাকেন, বা আপনি কোনও আপোস করা সার্ভারে এক্স ফরোয়ার্ডিং করেন, তবে সম্ভাব্য সুরক্ষা ঝুঁকি রয়েছে।


ধন্যবাদ। ssh এই বার্তাটিও প্রকাশ করে debug1: Offering RSA public key: <$HOME>/.ssh/id_rsaযা একজনকে ভাবায় যে প্রাইভেট কীটি ভাগ করা হচ্ছে যদিও id_rsa.pub ইতিমধ্যে ভাগ করা হয়েছে।
গুরজিৎ সিং

জনসাধারণের কীটি হ'ল ভাল জনসাধারণ। আপনি যে কাউকে দিতে পারেন। এটি তাদের বার্তাগুলি এনক্রিপ্ট করার ক্ষমতা দেয়। ব্যক্তিগত কী আপনাকে বার্তাগুলিকে ডিক্রিপ্ট করতে দেয়। যতক্ষণ আপনি নিজের প্রাইভেট কীটি নিজের কাছে রাখেন ততক্ষণ আপনি ঠিক আছেন।
পিট
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.