共计 985 个字符,预计需要花费 3 分钟才能阅读完成。
在应用 OpenSSH 进行平安通信时,密钥治理是十分重要的一个环节。在本文中,咱们将会具体探讨密钥的生成、治理、散发以及存储等方面,以及为什么在登录时依然须要输出明码。
一、密钥的生成
OpenSSH 应用 Diffie-Hellman 密钥替换协定生成会话密钥和主密钥。Diffie-Hellman 协定基于大质数合成难题,是目前宽泛采纳的公钥密码学根底。它确保了在不平安的信道上进行平安的密钥替换。
1、生成 Diffie-Hellman 密钥对
Diffie 和 Hellman 创造了 Diffie-Hellman 协定,以解决公钥密码学中的一些关键问题,包含大质数合成难题和离散对数问题。两个密钥替换参数(P 和 Q)通过计算出 p^x (mod n) 和 q^y (mod n) 来生成。其中,n 是大质数,p 和 q 别离是两个人的私钥。
2、生成会话密钥和主密钥
在应用 OpenSSH 时,咱们须要生成会话密钥和主密钥,并应用它们进行平安的近程会话。咱们能够应用本人的私钥来计算会话密钥,同时须要抉择另外一个人的公钥作为主密钥。通过替换这些密钥对,咱们能够确保通信单方都领有雷同的安全性。
二、密钥的治理
1、密钥库
为了保障密钥的安全性,咱们通常将私钥保留在一个独立的密钥库中,只有那些取得受权的人员才可能拜访它。密钥库通常包含一个数据库、一套访问控制机制和备份机制等。
2、密钥备份
为了避免私钥泄露,咱们须要定期备份私钥。备份通常包含多个正本,以确保即便某个正本失落或损坏,也能够应用其余备份进行复原。
三、密钥的散发
1、颁发机构
OpenSSH 的发行版通常会提供一个颁发机构(如 OpenSSL),用于公布已签名的证书和密钥库,这些证书和密钥库能够被其他人应用来连贯到咱们的服务器。
2、证书颁发机构(CA)
咱们须要信赖那些颁发证书的机构,以确保咱们连贯到的服务器是可信的。CA 会审核服务器的身份并颁发证书,以证实服务器的身份和所提供的服务。咱们通常会将咱们信赖的 CA 证书增加到咱们的客户端证书颁发列表中。
四、登录时为什么还须要输出明码
尽管咱们曾经胜利地取得了近程服务器的公钥,并且曾经生成了相应的密钥对,然而在登录时依然须要输出明码。这是因为咱们不能置信任何人能够通过输出简略的字符串来破解咱们设置的强明码。在登录时输出明码有两个目标:1)加强账户的安全性;2)验证用户输出的字符串是否合乎预期格局。
本文由 mdnice 多平台公布