it-swarm.dev

Cifre, hash, ecc. Predefiniti / preferiti di OpenSSH per SSH2

Quando si utilizza il server OpenSSH (sshd) e il client (ssh), quali sono tutte le cifrature predefinite/preferite del programma, l'hash, ecc. (Relative alla sicurezza) e le loro opzioni predefinite (come chiave lunghezza)?

Quindi, quali sono i valori predefiniti per chiave simmetrica, MAC, scambio di chiavi, ecc.

21
SFun28

Gli algoritmi predefiniti (ovvero gli algoritmi che il client e il server preferiscono da usare quando viene data la scelta) dipendono dalle implementazioni del client e del server, dal modo in cui sono stati compilati e configurati. Quindi può dipendere dal fornitore del software, dalla versione del software, dalla distribuzione del sistema operativo e dalle scelte di amministratore di sistema.

Su un Ubuntu 12.10, man ssh_config indica che l'ordine predefinito per la crittografia è:

            aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
            aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
            aes256-cbc,arcfour

mentre l'ordine predefinito per MAC (integrità) è:

            hmac-md5,hmac-sha1,umac[email protected],
            hmac-ripemd160,hmac-sha1-96,hmac-md5-96,
            hmac-sha2-256,hmac-sha2-256-96,hmac-sha2-512,
            hmac-sha2-512-96

L'algoritmo di scambio delle chiavi seguirà questo ordine di preferenza:

            ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
            diffie-hellman-group-exchange-sha256,
            diffie-hellman-group-exchange-sha1,
            diffie-hellman-group14-sha1,
            diffie-hellman-group1-sha1

Naturalmente, le preferenze sono soggette a negoziazione. Un algoritmo verrà selezionato solo se sia il client che il server lo supportano (in particolare, il supporto per lo scambio di chiavi ECDH è piuttosto recente) e sia il client che il server hanno voce in capitolo (se non hanno le stesse preferenze).

Un sondaggio è teoricamente fattibile: connettiti a un indirizzo IP casuale e, se un server SSH risponde, elabora il suo elenco preferito di cifre e MAC (collegandosi più volte, limitando l'elenco delle scelte annunciate dal cliente). OpenSSH effettua sondaggi sull'utilizzo ma non sono così accurati (vogliono solo il "banner" del server).

18
Thomas Pornin

Hai guardato manuale ? Un rapido Ctrl-F per 'default' ha rivelato molte delle risposte che stai cercando:

  • lunghezza chiave: 1024
  • 3DES
  • SSH2
  • ...
2
schroeder