it-swarm.com.de

OpenSSH Standard / bevorzugte Chiffren, Hash usw. für SSH2

Wenn Sie OpenSSH-Server (sshd) und Client (ssh) verwenden, welche Standard-/Programm-bevorzugten Chiffren, Hashs (sicherheitsrelevant) und deren Standardoptionen (z. B. Schlüssel) werden verwendet? Länge)?

Also, was sind die Standardeinstellungen für symmetrischen Schlüssel, MAC, Schlüsselaustausch usw.

21
SFun28

Die Standardalgorithmen (dh die Algorithmen, die Client und Server bevorzugen verwenden, wenn die Auswahl getroffen wird) hängen von den Client- und Serverimplementierungen ab, wie sie kompiliert und konfiguriert wurden. Dies kann also vom Softwareanbieter, der Softwareversion, der Betriebssystemverteilung und den Systemadministratoren abhängen.

Auf einem Ubuntu 12.10, man ssh_config gibt an, dass die Standardreihenfolge für die Verschlüsselung lautet:

            aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
            aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
            aes256-cbc,arcfour

die Standardreihenfolge für MAC (Integrität) lautet:

            hmac-md5,hmac-sha1,[email protected],
            hmac-ripemd160,hmac-sha1-96,hmac-md5-96,
            hmac-sha2-256,hmac-sha2-256-96,hmac-sha2-512,
            hmac-sha2-512-96

Der Schlüsselaustauschalgorithmus würde dieser Präferenzreihenfolge folgen:

            ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
            diffie-hellman-group-exchange-sha256,
            diffie-hellman-group-exchange-sha1,
            diffie-hellman-group14-sha1,
            diffie-hellman-group1-sha1

Präferenzen sind natürlich Gegenstand von Verhandlungen. Ein Algorithmus wird nur ausgewählt, wenn sowohl der Client als auch der Server ihn unterstützen (insbesondere die Unterstützung für den ECDH-Schlüsselaustausch ist relativ neu) und sowohl der Client als auch der Server das Wort haben (wenn sie nicht genau dieselben Einstellungen haben).

Eine Umfrage ist theoretisch möglich: Stellen Sie eine Verbindung zu einer zufälligen IP-Adresse her und ermitteln Sie, wenn ein SSH-Server antwortet, die bevorzugte Liste der Chiffren und MACs (durch Verbinden) mehrmals, wobei die vom Kunden angekündigte Auswahlliste eingeschränkt wird). OpenSSH führt Nutzungsumfragen durch aber sie sind nicht so gründlich (sie wollen nur das Server "Banner").

18
Thomas Pornin

Haben Sie sich das Handbuch angesehen? Eine schnelle Strg-F-Taste für "Standard" enthüllte viele der Antworten, nach denen Sie suchen:

  • schlüssellänge: 1024
  • 3DES
  • SSH2
  • ...
2
schroeder