잘못된(비밀) SSH 키를 사용하여 서버에 연결해도 안전합니까?

잘못된(비밀) SSH 키를 사용하여 서버에 연결해도 안전합니까?

구성 파일이 없고 내가 연결하는 모든 호스트에서 ssh는 올바른 키를 찾을 때까지 모든 키를 통과하는 것 같습니다.

잠재적으로 악의적인 호스트에 키를 보내는 것이 안전합니까? SSH에서 제공한 키가 올바른 것처럼 가장하고 비밀을 가로채는 것이 가능할까요?


나는 이것이 내 질문에 어느 정도 대답한다고 생각합니다.https://security.stackexchange.com/a/23242- 키는 안전하기 때문에 키가 많으면 사용할 키를 지정하지 않으면 잠길 수 있는 유일한 방법이 될 것 같습니다.

답변1

개인 키가 손상될까봐 걱정된다면 이런 일은 일어나지 않을 것입니다. 전송되지 않습니다.

그러나 공개키는 입니다. 나생각하다이를 통해 누군가를 식별할 수 있지만 허가 없이 서버에 로그인하는 경우에만 문제가 됩니다.

이것은 SSH 연결이 작동하는 방식에 대해 자세히 설명하는 잘 작성된 기사입니다.관련 발췌:

서버는 이 파일의 공개 키를 사용하여 클라이언트에 전송되는 인증 확인 메시지를 암호화할 수 있습니다. 클라이언트가 메시지를 해독할 수 있음을 증명할 수 있으면 관련 개인 키를 소유하고 있음을 입증합니다.

또한 공개키에서는 개인키를 얻을 수 없습니다.

답변2

~해야 한다신뢰할 수 없는 서버에 공개 키를 안전하게 보내는 것이 SSH의 핵심 원칙입니다.

그러나 올해 Qualys는매우 심각한 취약점이를 통해 악의적인 서버가 기본 방식으로 구성된 클라이언트로부터 개인 키를 훔칠 수 있습니다. 이것은육년.

물론 이 구체적인 문제는 지금은 해결됐지만 OpenSSH에도 취약점이 있다는 사실이 주목을 받았다. 잠재적으로 악의적인 서버에 안전하게 연결하도록 설계되었다는 사실은 여전히 ​​남아 있습니다. 특정 상황에서 "해야 하는 것"보다 더 강력한 보장이 필요한지 여부는 스스로 결정해야 합니다.

관련 정보