Verschlüsselungsalgorhytmen ssh

[grenzreiter]

Hi,

ich habe eine Frage bezglich der Secure Shell. Ich soll einen Vortrag darüber halten, aber blicke einfach nicht bei der symetrischen und asymetrischen Verschlüsselung durch. Ich weiß zwar das es eben private und öffentliche Schlüssel gibt und das alles. Aber wie ist das mit dem ssh-keygen und dem anderen Zeug auf dem Mac? Und was ist ein Randomart Image? Googe hilft mir hier nicht wirklich weiter...

Gruß

grenzreiter

[dusty1000]

Das Randomart-Image ist eine Art grafische Verdeutlichung des generierten Keys. Hierbei geht es darum, dem User die Möglichkeit zu geben, zu erkennen, dass der Schlüssel wirklich zufällig ist und keinem Muster folgt.
Welche Fragen bezüglich ssh-kegen und anderen Tools hast du denn genau? Prinzipiell verhält sich MacOS wie jedes unixoide Betriebssystem, auf dem openssh installiert ist.

[grenzreiter]

Hi,

im Grund ist es einfach die generelle Frage, wie das mit dem private und public Keys abläuft, wie sie generiert werden, woo sie gespeichert werden, und was der Unterschied zwischen symetrisch und asymetrisch ist.

Gruß

grenzreiter

[naich]

wie sie generiert werden

Das will ich dir lieber nicht genau erklären, wenn du das so genau wissen willst, kannst du dich in ne höhere Mathematik / Informatik-Vorlesung reinsetzen.

Wenn dich eher interessiert, womit sie generiert werden, schau dir mal ssh-keygen unter Unix an (man ssh-keygen).

woo sie gespeichert werden

Für ssh normalerweise unter ~/.ssh/

und was der Unterschied zwischen symetrisch und asymetrisch ist.

Was hast du dir schon alles angelesen? Google spuckt dir da sicher auch was aus. Du musst schon ein bisschen recherchieren, vielleicht fängst du hier an:
http://de.wikipedia.org/wiki/Asymmet...s_Kryptosystem
http://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem

In Kurzfassung: Beim asymetrischen Verfahren ist der öffentliche Schlüssel halt öffentlich - d.h. jeder Depp, der den Schlüssel hat, kann eine Nachricht verschlüsseln, welche dann nur von einem Besitzer des zugehörigen private Keys wieder entschlüsselt werden kann.

Im symmetrischen Fall gibt es nur 1 Schlüssel - welchen beide Parteien kennen. Nur der eine wird sowohl für Ver- als auch Entschlüsselung benötigt.
Vorteil ist eine sehr viel geringere Komplexität. D.h. im Realfall und auch bei ssh wird mittels der asymetrischen Verfahren ne Authentifizierung durchgeführt, und ein symmetrischer Schlüssel ausgehandelt. Wenn der einmal da ist, erfolgt die weitere Kommunikation über die symmetrische Verschlüsselung.

Wenn du konkrete Fragen hast, helfe ich dir dann noch gerne weiter.

[grenzreiter]

Hi,

noch eine Frage:

Was ist mit Geschwindigkeitsvorteil bei der symetrische Verschlüselung gemeint? Warum ist das denn schneller?

Gruß

grenzreiter

[naich]

Bei der asymetrischen Verschlüsselung müssen Modulo-Operationen und Exponentiation mit sehr großen Zahlen durchgeführt werden - für jeden zu verschlüsselnden Block. Das ist sehr rechenaufwändig.

Bei symmetrischen Verfahren wie DES werden pro Block lediglich nen paar Mutationen der Bits, XOR-Operationen, Expansionsvorgänge und dergleichen durchgeführt (alles recht schnell möglich).

Somit kommt es insbesondere bei einer größeren Menge zu verschlüsselnder Daten zu einem "Mischmasch" der beiden Verfahren. Siehe auch: http://de.wikipedia.org/wiki/Hybride_Verschlüsselung

[naich]

Was hat es mit dem keygen und den fingerprints und das allem auf sich? Ich verstehte zwar das man mit dem keygen Befehl eben neue Schlüssel erzeugt, aber wie weiß der entfernte Rechner, dass ich diese neuen Schlüssel habe

Auf deinem Rechner werden mit ssh-keygen der öffentliche und private Schlüssel erzeugt, d.h. der Server kennt deinen öffentlichen Schlüssel zunächst erstmal nicht. Dieser kann manuell zum Server kopiert werden, oder man benutzt ssh-copy-id, was den Vorgang automatisiert.

und wie autentifiziert er mich denn dann genau?

Der Server authentifiziert sich auch vor dem Client (damit man weiß dass man mit dem richtigen Server spricht).

Aber nun zur Überprüfung der Benutzer-Identität:
Das läuft über ein Challenge-Response-Verfahren ab. Der Server erzeugt eine zufällige Nachricht, und verschlüsselt diese mit dem öffentlichen Schlüssel des Clienten. Wenn der Client die verschlüsselte Nachricht erhält, kann er (und nur er) die Nachricht wieder mit dem privaten Schlüssel entschlüsseln, und kennt somit die zufällige Nachricht. Diese schickt er wieder dem Server zurück, der somit durch Vergleich feststellen kann, dass der Zufallswert übereinstimmt, und somit nur vom richtigen Clienten entschlüsselt worden sein kann.

[grenzreiter]

Eine Frage habe ich noch,

woher weiß ich, dass das auch wirklich der public key des Servers ist, zu dem ich möchte, und nicht einfach irgendein anderer, der mir vorgaukelt der richtige zu sein?

Gruß

grenzreiter

[naich]

Beim ersten verbinden wird ein Hex-String angezeigt, den man (theoretisch) auf Korrektheit überprüfen muss / sollte.