Início / computer / Perguntas / 1658654
Accepted
c_anirudh
Asked: 2021-06-24 22:19:52 +0800 CST

Como funciona a autenticação baseada em chave SFTP? Diferença entre chaves SSH e SFTP

  • 772

Recentemente li em algum lugar que:

As chaves SSH são para criptografia, enquanto as chaves SFTP são para autenticação.

Considere, temos uma máquina cliente Ce um servidor SFTP S. Para estabelecer uma conexão SSH (usando chaves públicas/privadas), o cliente cria o par de chaves PU c e PR c . A chave pública PU c é adicionada ao authorized_keysarquivo no servidor S, e o cliente C usa sua chave privada PR c para estabelecer a conexão.

No entanto, li que para SFTP, o par de chaves é criado no servidor em relação a um usuário e a chave privada é compartilhada com o cliente para que ele autentique a conexão SFTP. Ou seja, o servidor S cria PUs e PRs e a chave privada PRs é fornecida ao cliente C para autenticar sua conexão SFTP. Esse entendimento está correto?

Se sim, entendo que a configuração da conexão SSH ocorre em 3 etapas:

  1. Verificação do servidor pelo cliente (verificação de chave de host).
  2. Geração de uma chave de sessão para criptografar toda a comunicação.
  3. Autenticação do cliente.

Como o cliente autentica sua sessão SFTP (com a chave privada que obteve antes do servidor) na etapa 3?

ssh linux

1 respostas

  1. Best Answer

    Não existe "autenticação de chave SFTP", nem existe uma "chave SFTP".

    O SFTP sempre usa o SSH padrão como transporte – as diferenças só começam depois que você se autentica com sucesso (o cliente então solicita uma sessão interativa ou uma sessão de subsistema 'sftp'). Em outras palavras, o SFTP funciona exatamente da mesma maneira que o Git-over-SSH ou o Rsync-over-SSH.

    Finalmente, as chaves SSH não são usadas para criptografia; todos eles são usados ​​apenas para autenticação (em ambas as direções). Portanto, a frase que você leu e citou é falsa em todos os sentidos possíveis.

    Existem , no entanto, dois pares de chaves usados ​​para autenticação – um pertencente ao servidor (criado durante a instalação) cuja chave pública é verificada pelo cliente e outro pertencente ao cliente, cuja chave pública é verificada pelo servidor.

    O processo geral para SFTP e SSH interativo é:

    1. Troca de chave de sessão: O cliente e o servidor usam (geralmente) Diffie-Hellman para negociar as chaves de criptografia simétricas.
    2. Verificação da chave do host: o servidor se autentica usando sua chave privada para assinar alguns dados, que o cliente verifica em relação ao seu arquivo known_hosts. (Os dados assinados incluem a chave de sessão negociada anteriormente e outros parâmetros, evitando ataques MitM.)
    3. Autenticação do usuário: o cliente se autentica usando sua chave privada para assinar alguns dados, que o servidor verifica em seu arquivo authorized_keys. (Nesta fase, os dados são apenas um desafio aleatório.)
    4. Configuração da sessão: O cliente abre vários canais para interagir com o servidor (como um canal de "encaminhamento de agente", um canal de "encaminhamento TCP", um canal de "sessão de shell interativa", um canal de "comando de shell não interativo" ou um canal de canal "subsistema sftp").

    O cliente pode até abrir várias sessões na mesma conexão - clientes que suportam multiplexação, como OpenSSH ou Tunnelier, permitirão que você autentique apenas uma vez e, em seguida, execute vários shells interativos e/ou transferências SFTP na mesma conexão.

    (Além disso, é muito provável que eu esteja misturando a ordem relativa de 'sessões' SSH versus 'canais', mas pelo menos você tem uma ideia aproximada.)

    Observe que o cliente na etapa 3 pode se autenticar de outras maneiras (como Kerberos ou uma senha simples) em vez de precisar usar um par de chaves. Isso ainda é exatamente o mesmo para SFTP e SSH interativo.

    • 8

relate perguntas