※ [本文转录自 Gossiping 看板] 作者: luckyman186 (luckyman186) 看板: Gossiping 标题: Re: [新闻] 监看员工MSN 104人力银行挨告 时间: Mon Jan 18 10:56:32 2010 ※ 引述《HAIWEI (维)》之铭言： : 顺便告诉各位 : 有个设备叫做blueCxxt以下简称BC (避免打广告嫌疑已马赛克) : 他的作法是这样 : PC<------------>BC<---------->远端server : 加密 加密 : 在你pc端上的加密 BC会跟你做一次协定 : 你看起来有加密了 事实上在传输中也有加密 : 事实上在BC已经解开了 : 然後BC到远端server的传输也是加密 : 重点在你的资料在BC上已经全部看光了 : 所以你说 : 加密有用吗? : 我的答案是科科 : 至於这台设备只比刚才的软体贵一点点而已 : 大概100多万就有了 : 大公司你说买不买的起呢 科科 SSH2 能否躲开BC的监控吧? 看"危机"百科的解释好像是可以 有明白原理的人可以解释一下吗? ================================================================ 在客户端来看，SSH提供两种级别的安全验证。 * 第一种级别（基於密码的安全验证），知道帐号和密码，就可以登 录到远程主机，并且所有传输的数据都会被加密。但是，可能会有别的伺 服器在冒充真正的伺服器，无法避免被「中间人」攻击。 * 第二种级别（基於密匙的安全验证），需要依靠密匙，也就是你必 须为自己创建一对密匙，并把公有密匙放在需要访问的伺服器上。客户端 软体会向伺服器发出请求，请求用你的密匙进行安全验证。伺服器收到请 求之後，先在你在该伺服器的用户根目录下寻找你的公有密匙，然後把它 和你发送过来的公有密匙进行比较。如果两个密匙一致，伺服器就用公有 密匙加密「质询」（challenge）并把它发送给客户端软体。从而避免被 「中间人」攻击。 在伺服器端，SSH也提供安全验证。在第一种方案中，主机将自己的公用 密钥分发给相关的客户端，客户端在访问主机时则使用该主机的公开密 钥来加密数据，主机则使用自己的私有密钥来解密数据，从而实现主机 密钥认证，确定客户端的可靠身份。在第二种方案中，存在一个密钥认 证中心，所有提供服务的主机都将自己的公开密钥提交给认证中心，而 任何作为客户端的主机则只要保存一份认证中心的公开密钥就可以了。 在这种模式下，客户端必须访问认证中心然後才能访问伺服器主机。 ================================================================= 补充 作者 [email protected] (piggy), 看板 security 在 SSH protocol 1 中是用 hostkey 为 session key 加密使用， 但是在 SSH protocol 2 中 hostkey 是用来做为讯息完整性的确 认 (Message Authentication Code) ，而在 MAC 的演算法选择里 ，是在版本讯息之後，透过类似版本讯息的作法来通知 client， 在 ssharp 实作的假造攻击中，会对 client 送出 RSA key ，而 这个 RSA key 在真的 server 上是没有支援的，此时使用者就会 看到新建立的 SSH 连线，而不会看到 Man in The Middle attack 的警告讯息。和真实 server 的沟通可能是 DSA 或 RSA 两种演算 法，但我们假造的 SSH server 只会送出 RSA 演算法的 key。依 照 RFC 的规定，SSH2 server 在收到 client 所列举的多种演算 法时，应该是使用第一个演算法，但是 ssharp 的假造 server 会选择第二种演算法，也就会造成 client 出现 yes/no 的提示， 而非 Man in The Middle attack 警告讯息。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 124.11.225.195 ※ 编辑: luckyman186 来自: 124.11.225.195 (01/18 11:08) --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 124.11.228.222