背景
在《SSH学习(一)- 概念了解》一文中,我们对SSH相关的概念做了学习,接下来在本文中,将针对[SSH-TRANS]涉及到的密码学相关内容进行学习。
基于RFC 4253的定义,The Transport Layer Protocol [SSH-TRANS]主要负责服务端认证,以及消息的机密性和完整性。结合日常工作,涉及到的关键点(mac算法忽略)如下:
- kex_algorithms,协商通过什么样的交换算法来实现加密密钥的交换。比如说,ecdh-sha2-*,diffie-hellman-group-exchange-sha256等等,即DHE和ECDHE交换中使用的不同曲线等参数;
- server_host_key_algorithms,协商什么样的Server Host Key是可以被客户端接受的。如ssh-ed25519,ssh-rsa等等;
encryption_algorithms:采用什么用的加密算法来保证消息的机密性。如AEAD_AES_256_GCM,aes192-ctr,CHACHA20-POLY1305等;
理论知识
kex_algorithms
密钥交换,Key Exchange,使得客户端和服务端在一个不安全的网络中,协商出会话期间对数据进行加密的会话密钥,从而建立一个安全的、加密的通信信道。
目前SSH支持的kex algorithm可以参考IANA SSH Parameter页面:IANA SSH Parameter,截图如下:
而OpenSSH目前支持的算法列表截图如下,完整信息可以在OpenSSH的manual Page中找到:
以curve25519-sha256为例,代表密钥交换采用ECDHE方式,使用了curve25519曲线。椭圆曲线的介绍可以参考SafeCurves。server_host_key_algorithms
为了避免中间人攻击,客户端和服务端进行密钥交换的最后一步,需要使用服务端的Host Key对密钥交换过程中对的临时公钥进行签名。所以server host key algorithm就是定义了一系列服务端支持密钥签名算法,比如说ssh-ed25519,OpenSSH支持的算法列表见下图:
encryption_algorithms
对称加密算法,在协商过程中,客户端和服务端的通信信道的不同方式应该被视为独立的数据流,即客户端发送给服务端的数据加密算法和服务端发送客户端的数据加密算法可以支持不同的对称加密算法(客户端 -> 服务端:aes128-gcm,服务端 -> 客户端:chacha20-poly1305@openssh.com)。但是在实际实现中,推荐客户端和服务端的通信均使用一个加密算法,以及采用不同的密钥派生方法。
可以在RFC文档中看到,当客户端和服务端协商出共享的内容k后,两个方向的加密密钥采用了不同的计算方式来派生:
算法协商流程
在SSH协议中,上述不同的算法类型,客户端和服务端均会有一个自己支持的算法列表,对应的协商过程均为:
客户端发送支持的算法列表给出到服务端;
- 服务端发送支持的算法列表给出到客户端;
- 在客户端支持的算法列表中,从第一个开始遍历,找到一个在服务端支持的算法则是此次协商选中的算法,否则断开SSH连接;
Notice:在TLS的握手中,算法协商是客户端发送支持的算法列表,然后服务端明确选中一个作为本次的协商算法,而SSH协议是各自发送自己的算法列表,然后按照默认规则来选中。
实际SSH操作
首次正常的SSH连接
Client: ubuntu 22.04,Server:Aliyun Linux 3.2
通过ssh -v选项来展示SSH建连过程中的详细信息:
可以看到上图红框部分,为Client和Server协商好的密钥交换算法为curve25519-sha256,Server host key为ssh-ed25519,两边的各自通道的加密算法为chacha20-poly1305@openssh.com。
由于Client到Server是首次连接,因此需要基于TOFU机制来信任服务的ed25519公钥指纹。
在PublicKey方式认证环境,Client向服务端提供ecdsa算法模式的公钥,经过验证完成登录。
验证通过以后,服务端还返回rsa和ecdsa的host key对应的公钥,并保存在Client端的~/.ssh/known_hosts文件。至此,Server端的3种host key均被客户信任。
修改Client和Server配置后建连
根据OpenSSH的sshd_config指引文档,服务端的SSHD配置文件为:/etc/ssh/sshd_config,其对应内容部分截图如下:
在密码算法属性部分,可以看到OpenSSH明确提示在此处的修改不会生效,而是跟随系统的Crypto Policy,因此我们需要找到影响SSH的Crypto Policy来配置sshd。通过查询sshd的启动命令,cat /lib/systemd/system/sshd.service,我们可以看到sshd使用了/etc/crypto-policies/back-ends/opensshserver.config作为command option:
继续查看/etc/crypto-policies/back-ends/opensshserver.config,可以看到前面提到的相关算法配置项。
本次修改服务端的kex_algorithm为ecdh-sha2-nistp*,客户端的kex_algorithm为curve25519-sha256,可以看到SSH建连失败:
然后继续修改客户端的kex algorithm为ecdh-sha2-nistp256,可以看到建连成功:
总结
本文重点针对SSH TRANS中的密钥交换、服务端签名和对称加密进行了学习,然后手动配置服务端和客户端的SSH配置来影响对应的kex algorithm,从而了解OpenSSH在Linux服务器的密码算法配置方式和完整的SSH建连过程。关于host key algorithm、encryption algorithm的配置,不再展开,其配置的具体操作与kex algorithm等同。
参考文档
- Crypto policy: https://access.redhat.com/articles/3666211
- IANA SSH Parameter:https://www.iana.org/assignments/ssh-parameters/ssh-parameters.xhtml
- OpenSSH manual Pages:https://www.openssh.com/manual.html
- OpenSSH sshd_config manual Page: https://man.openbsd.org/sshd_config.5#Ciphers
- SafeCurves: https://safecurves.cr.yp.to/
- public key algorithm: https://docs.ssh.com/manuals/client-user/66/csc-algorithms-publickeyalgorithms.html
