SSH सुरंग या कनेक्शन कितना सुरक्षित है?


20

मैंने अक्सर लोगों को खुले वाईफ़ाई या अन्य असुरक्षित स्थितियों में अपने ब्राउज़िंग को सुरक्षित करने के लिए SSH सुरंग का उपयोग करने की सलाह दी है।
मेरे द्वारा हाल ही में एक मित्र से पूछा गया था कि SSH टनलिंग का सुझाव देने के बाद SSH सुरंग कितनी सुरक्षित है। मैं थोड़ा लड़खड़ाया और "अपनी तिजोरी" दोहराई।

भले ही वह इस जवाब से संतुष्ट था लेकिन इसने मुझे थोड़ा परेशान किया कि मैं पूरी तरह से जवाब नहीं दे सका।
तो सवाल आप लोगों के लिए निकलता है:

"SSH सुरंग कितनी सुरक्षित है?"


संक्षिप्त टिप्पणी; एक एसएसएच सुरंग प्रदान करने का उपयोग किया जाता है, उस कनेक्शन की सुरक्षा केवल उसके समापन बिंदु के रूप में अच्छी है। मतलब यह है कि यदि किसी के पास / कुछ में ओएस या नेटवर्क तक पहुंच कम है, तो वाहक को हुक करना और सुरंग की सामग्री को पढ़ना संभव है।
मोगेट 13

जवाबों:


31

मैं यहाँ विकिपीडिया से थोड़ा सा उद्धरण देना चाहता हूँ:

यहां तक ​​कि अगर एक सिमिट्रिक सिफर अपने एल्गोरिथ्म में संरचनात्मक कमजोरियों का दोहन करके वर्तमान में अटूट है, तो यह ब्रूट फोर्स अटैक के रूप में जाने जाने वाली चाबियों के पूरे स्थान से गुजरना संभव है। चूंकि लंबे समय तक सममित कुंजी को बल खोज की दिशा में अधिक कार्य करने की आवश्यकता होती है, इसलिए पर्याप्त रूप से लंबी सममित कुंजी हमले की इस रेखा को अव्यवहारिक बनाती है।

लंबाई n बिट्स की कुंजी के साथ, 2 n संभव कुंजी हैं। यह संख्या n बढ़ने पर बहुत तेजी से बढ़ती है। मूर का नियम बताता है कि हर 18 से 24 महीनों में कंप्यूटिंग शक्ति लगभग दोगुनी हो जाती है, लेकिन फिर भी यह दोगुना प्रभाव बड़े सममित कुंजी लंबाई को छोड़ देता है जिसे वर्तमान में पहुंच से बाहर माना जाता है। संचालन की बड़ी संख्या (2 128)) सभी संभावित 128-बिट कुंजियों की कोशिश करने के लिए व्यापक रूप से भविष्य के लिए पारंपरिक डिजिटल कंप्यूटिंग तकनीकों की पहुंच से बाहर माना जाता है। हालांकि, कंप्यूटिंग प्रौद्योगिकी के वैकल्पिक रूपों का अनुमान है जो शास्त्रीय कंप्यूटरों की तुलना में बेहतर प्रसंस्करण शक्ति हो सकता है। यदि एक उपयुक्त आकार का क्वांटम कंप्यूटर जो ग्रोवर के एल्गोरिदम को चलाने में सक्षम है, मज़बूती से उपलब्ध हो जाता है, तो यह 128-बिट कुंजी को 64-बिट सुरक्षा तक कम कर देगा, लगभग डेस के बराबर। यह एक कारण है कि एईएस 256-बिट कुंजी लंबाई का समर्थन करता है। अधिक जानकारी के लिए इस पृष्ठ के निचले भाग में प्रमुख लंबाई और क्वांटम कंप्यूटिंग हमलों के बीच संबंध पर चर्चा देखें।

तो 128 बिट कुंजी में 340,282,366,920,938,463,463,374,607,431,768,211,456 संभावित परमिट होंगे। उन सभी के माध्यम से जाने की कल्पना करो। यहां तक ​​कि एक शक्तिशाली डेस्कटॉप कंप्यूटर केवल कुछ प्रति सेकंड की कोशिश कर सकता है।

हालांकि, एसएसटी स्ट्रीम को डीट्यूट-फोर्स डिक्लेयर करना सैद्धांतिक रूप से संभव है, जब तक कुंजी को सबसे शक्तिशाली कंप्यूटर द्वारा डिक्रिप्ट किया जाता है कल्पनाशील दो चीजें हुई होंगी:

  1. कुंजी को SSH द्वारा बदल दिया गया होगा
  2. हम सभी मर गए होंगे और सूर्य ने पृथ्वी को नष्ट और नष्ट कर दिया था।

9
+1 केवल 12 सेकंड में मैंने जाना कि मैं और हर कोई जानता है कि वह मरने वाला है और सूरज फटने वाला है।
मेटागुरु

1
@ioSamurai Meh ... नहीं, सूरज नहीं फूटेगा, यह उससे कहीं अधिक जटिल है।
सीलान

आप कहते हैं कि आपको 340 ... (विशाल संख्या) से गुजरना होगा, लेकिन यह मानकर चल रहा है कि आप जो आखिरी कोशिश कर रहे हैं वह अच्छा है, है ना? मैं संभावना है कि कुंजी में पहली अरब कम से कम कुछ हद तक कम है मान
Ced

संभावना है कि कुंजी पहले अरब में है 2 ^ 98 में 1 के आसपास सही है। फिर भी एक बड़ी संख्या।
एल्कविस

2
पंडों .... मुझे लगता है ...?
मैजेंको

4

<अस्वीकरण: क्रिप्टोग्राफी पर एक विशेषज्ञ नहीं>

SSHv2 टीएलएस / एसएसएल के रूप में ज्यादातर एक ही एल्गोरिदम का उपयोग करता है:

  • डीएच , हाल ही में ईसीडीएच या आरएसए प्रमुख विनिमय के लिए;
  • सर्वर प्रमाणीकरण के लिए RSA , DSA या ECDSA (और बहुत बार, ग्राहक प्रमाणीकरण)।
  • सममित एन्क्रिप्शन के लिए एईएस (पूरे डेटा स्ट्रीम को बेतरतीब ढंग से उत्पन्न कुंजी का उपयोग करके एन्क्रिप्ट किया गया है)।

वे सभी व्यापक रूप से उपयोग किए जाते हैं और हर रोज इस्तेमाल के लिए सुरक्षित साबित होते हैं।

हालांकि, किसी भी प्रोटोकॉल में, सुरक्षा यह जानने पर निर्भर करती है कि आप सही सर्वर के साथ संचार कर रहे हैं। एसएसएच (मानक कॉन्फ़िगरेशन) के मामले में, पहली बार जब आप सर्वर से जुड़ते हैं तो आपको उसके फिंगरप्रिंट को सत्यापित करना होगा । (वास्तव में जाँच किए बिना, जैसा कि बहुत से लोग करते हैं, इसकी पुष्टि न करें।) अगली बार, सर्वर की कुंजी को एक कैश्ड कॉपी के खिलाफ चेक किया जाएगा ताकि वह बीच-बीच में होने वाले हमलों को रोक सके - लेकिन केवल तभी सही कुंजी को कैश किया गया था पहली जगह में।

(तुलना में, TLS / SSL प्रसिद्ध अधिकारियों द्वारा जारी किए गए X.509 प्रमाणपत्रों का उपयोग करके उपरोक्त को संभालता है, जिन पर भरोसा है कि वे फर्जी प्रमाण पत्र पर हस्ताक्षर नहीं करते हैं।)


-1

SSH सुरक्षा की वास्तविक समस्या प्रमाणपत्र है। बहुत सारी कंपनियाँ SSH कनेक्शन के लिए सुरक्षित कुंजियाँ देंगी, और यह पहली बार नहीं है जब इन कुंजियों वाले डेटाबेस हैक हुए हैं। तो सुरक्षित होने का सबसे अच्छा उपाय यह है कि आप स्वयं की की-पेयर तैयार करें, लेकिन यह एक परेशानी है, और यह है कि हम इन कंपनियों पर भरोसा करते हैं ... जब तक वे हैक नहीं हो जाते और हम डॉन; टी को 340,282,366,920,990,463,463,374,607,431,768,211,456 कुंजियाँ देखनी पड़ती हैं; डेटाबेस में प्याज ।।


2
SSH के लिए एक कीपर बनाना मुश्किल से एक परेशानी है: आप एक बटन क्लिक करें या एक कमांड टाइप करें, और कुछ सेकंड प्रतीक्षा करें। मैंने कभी भी किसी तीसरे पक्ष के SSH की-जनरेटर सेवा का उपयोग करने के बारे में नहीं सुना है। आपको अपने लिए एक निजी कुंजी बनाने के लिए किसी और पर भरोसा नहीं करना चाहिए।
वायज़ार्ड

क्या कुछ साल पहले एक बड़ी बात नहीं थी जहां किसी कंपनी ने अपने सभी सर्वरों पर समान कुंजियों का उपयोग किया था, चाबियाँ सर्वरों में से किसी एक पर डाउनलोड के लिए उपलब्ध थीं, और उपयोग की जाने वाली प्रारंभिक कुंजी एक कर्मचारी की थी लगभग 10yrs के लिए कंपनी ने काम नहीं किया इसलिए किसी को पता नहीं था कि उसकी चाबी का इस्तेमाल अकेले ही सक्रिय रहने दिया जाता है।
फिल हीली
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.