现代计算机驱动的加密算法处理文本块,并执行复杂的转换。
大多数加密算法使用密钥;用于加密消息的文本、数字、符号或数据块。
密钥可以由用户选择或随机生成。
人们习惯性地选择容易猜到的密钥,因此OpenSSH甚至没有给用户创建自己的密钥的选项。
加密算法使用密钥对文本进行加密,使外部人员更难解密。即使你知道加密算法,如果没有密钥,也无法解密消息。
将加密算法视为一种锁,密钥是一个特定的钥匙。锁有很多不同的类型,每种锁都是用某种类型的钥匙。但即使类型相同,不匹配的钥匙也无法打开错误的锁。加密密钥的工作原理类似。
OpenSSH对流量进行加密。这是什么意思,它是如何工作的?我在我的书《PGP&GPG》(No Starch Press,2006)中给出了详细的解释,但这里是简短的版本。
加密将可读明文转换为攻击者无法理解的不可读密文。解密会反转转换,从明显的乱码中产生可读的文本。加密算法是执行此转换的确切方法。大多数孩子都会发现用数字代替字母的密码,所以A等于1,B等于2,Z等于26,以此类推。这是一个简单的加密算法。现代计算机驱动的加密算法一次处理文本块,并执行更复杂的转换。
大多数加密算法使用密钥;用于加密消息的文本、数字、符号或数据块。密钥可以由用户选择或随机生成。(人们习惯性地选择容易猜到的密钥,因此OpenSSH甚至没有给用户创建自己的密钥的选项。)加密算法使用密钥对文本进行加密,使外部人员更难解密。即使你知道加密算法,如果没有秘密加密密钥,你也无法解密消息。
将加密算法视为一种锁,密钥是一个特定的密钥。锁有很多不同的类型:房门、自行车、工厂等等。每种锁都使用某种类型的钥匙——你的门钥匙可能形状不适合任何车辆点火装置。但即使是正确类型的钥匙也无法在错误的锁中使用。你的前门钥匙可以打开前门,而且只能打开前门。加密密钥的工作原理类似。
加密算法有两种,对称和非对称。
symmetric algorithm——对称算法使用相同的密钥进行加密和解密。
对称算法包括但不限于高级加密标准(AES)和ChaCha20,以及较旧但现在不安全的算法,如3DES和Blowfish。
儿童替换码是一种对称算法。一旦你知道A等于1等等,你就可以加密和解密消息。对称算法(比简单的替换更复杂)可以非常快速和安全,只要只有授权人员拥有密钥。这就是问题所在:拿到密钥的局外人可以阅读你的信息,或者用自己的信息替换它们。
你必须保护密钥。在互联网上发送未加密的密钥就像站在操场上大喊,“a是1,B是2。”任何听到密钥的人都可以阅读你的私人信息。
asymmetric algorithm——非对称算法使用不同的密钥进行加密和解密。
您使用一个密钥加密消息,然后使用另一个密钥解密。这是有效的,因为密钥是非常大的数字,将非常大的数相乘比计算如何除法要容易得多。(如果你想了解细节,互联网上有很多很好的解释。)
非对称加密只有在能够处理非常困难的数学的计算机广泛可用的情况下才流行起来,而且比对称加密慢得多,计算成本也更高。
有两个单独的键可以创造有趣的可能性。公开一个密钥。把它送出去。向全世界广播。将另一个密钥保密,并不惜一切代价加以保护。任何拥有公钥的人都可以加密只有知道私钥的人才能读取的消息。拥有私钥的人可以加密消息并将其发送到世界各地。任何人都可以使用公钥解密该消息,但公钥可以解密消息的事实向接收者保证消息发送者拥有私钥。这是公钥加密的基础。
公钥及其匹配的私钥称为密钥对——key pair 。
再想想你前门的锁。锁本身是公共的;任何人都可以碰它。钥匙是私人的。你必须两者都有才能进入你的家。(您可以通过研究Diffie-Hellman密钥交换来了解更多信息。)
对称加密速度很快,但主机无法安全地交换密钥。非对称加密允许主机交换公钥,但速度慢且计算成本高。如何有效地加密以前从未通信过的两个主机之间的会话?
每个SSH服务器都有一个密钥对。每当客户端连接时,服务器和客户端都会使用此密钥对来协商仅在这两个主机之间共享的临时密钥对。客户端和服务器都使用这个临时密钥对来导出对称密钥,他们将在会话期间使用该对称密钥交换数据,以及提供连接完整性的相关密钥。如果会话长时间运行或交换大量数据,计算机将间歇性地协商新的临时密钥对和新的对称密钥。SSH协议比这更复杂,包括防止许多不同加密攻击的保护措施,但加密密钥交换是协议的核心。
SSH支持许多对称和非对称加密算法。客户端和服务器在每次连接时协商双方都同意的算法。虽然OpenSSH提供了一些选项,可以轻松更改支持的算法及其对每种算法的偏好,但不要!拥有比我们两人加起来更多加密经验的程序员经过深思熟虑、故障排除和痛苦后,得出了OpenSSH的加密偏好。流言蜚语、谣言和影射可能会将Blowfish称为当今最棒的加密算法,但这并不意味着你应该调整你的OpenSSH服务器,使其只使用该算法而不使用其他算法。
人们改变加密算法的最常见原因是提高速度。SSH的主要目的是安全,而不是速度。不要为了提高速度而放弃安全。您可能会遇到只使用旧加密算法的设备。我们将在 【第15章OpenSSH 废料】中处理这些问题
既然您已经了解了SSH加密的工作原理,就不要再讨论加密设置了。