SSH öffentlicher schlüssel zum entschlüsseln nutzen

[feldmaus]

Guten Tag,

ich versuche gerade das ssh Verfahren zu verstehen, um die Schwachstellen zu erkennen, um für meine Familie eine sichere Chat-Plattform zu errichten.

Viele um's!

Bei dem SSH-Verfahren wird der öffentliche Schlüssel(asymetrische Verschlüsselung) genutzt um einen Schlüssel zu übertragen, der dann für die spätere Kommunikation(symetrische Verschlüsselung) genutzt werden soll!? (Zusammen auch als Hybride Verschlüsselung bezeichnet)

Das heißt zu jeder Anfangsphase einer Kommunikation. Wenn also ein anderer zu dieser Anfangsphase mithört und auch diesen öffentlichen Schlüssel besitzt, dann müsste er doch auch die spätere Kommunikation verstehen können?

Kann man das herausgeben der öffentlichen Schlüssel verbieten? Sodass man dies immer erst manuell machen muss.

Grüße

[MSfree]

Das heißt zu jeder Anfangsphase einer Kommunikation. Wenn also ein anderer zu dieser Anfangsphase mithört und auch diesen öffentlichen Schlüssel besitzt, dann müsste er doch auch die spätere Kommunikation verstehen können?

Nein. Der öffentliche Schlüssel wird verwendet, um Netzwerkpakete zu verschlüsseln. Die so verschlüsselten Pakete sind nur mit dem privaten Schlüssel wieder zu entschlüsseln. Besitzt also ein Dritter den öffentlichen Schlüssel, so kann er damit zwar Netzwerkpakete verschlüsseln, er kann den öffentlichen Schlüssel aber nicht zum Mitlesen nutzen.

[mat6937]

Das heißt zu jeder Anfangsphase einer Kommunikation. Wenn also ein anderer zu dieser Anfangsphase mithört und auch diesen öffentlichen Schlüssel besitzt, dann müsste er doch auch die spätere Kommunikation verstehen können?

Kann man das herausgeben der öffentlichen Schlüssel verbieten? Sodass man dies immer erst manuell machen muss.

Du meinst evtl. den generierten symmetrischen "Session-Schlüssel", der zu Beginn einer Kommunikation ausgetauscht wird?
Wie soll man diesen Austausch manuell machen?

[shoening]

Hallo,

das Schlüsselpaar zur SSH Verbindung wird nicht für die Verschlüsselung der Kommunikation, sondern zur Authentisierung des Clients benutzt.

Das steht im z.B. Wiki unter https://wiki.debianforum.de/SSL-Zertifikate unter „Grundlagen“ beschrieben.

Dazu schickt der Client einen Text, der mit dem privaten Schlüssel verschlüsselt wurde - sowie den Klartext. Der Server kann den verschlüsselten Text mit dem hinterlegten öffentlichen Schlüssel entschlüsseln. Wenn der übertragene Klartext mit dem entschlüsselten Text übereinstimmt, dann ist der Sender damit als Besitzer des privaten Schlüssels identifiziert, weil niemand anders den Text passend verschlüsseln kann.

Viele Grüße
Stefan

[mat6937]

das Schlüsselpaar zur SSH Verbindung wird nicht für die Verschlüsselung der Kommunikation, sondern zur Authentisierung des Clients benutzt.

Ja, aber geht es hier um das "Schlüsselpaar zur SSH Verbindung" oder geht es um die "Verschlüsselung der Kommunikation"? So genau ist das m. E. aus dem Beitrag des TE nicht ersichtlich.

Wenn es um das "Schlüsselpaar zur SSH Verbindung" geht, dann kann man den pubkey auch manuell übertragen.

[shoening]

Hallo,

mir ging es um die Ausführung des TE:

Bei dem SSH-Verfahren wird der öffentliche Schlüssel(asymetrische Verschlüsselung) genutzt um einen Schlüssel zu übertragen, der dann für die spätere Kommunikation(symetrische Verschlüsselung) genutzt werden soll!? (Zusammen auch als Hybride Verschlüsselung bezeichnet)

Das ist meiner Ansicht nach falsch - das Schlüsselpaar des Clients, dessen öffentlicher Anteil auf dem Server hinterlegt ist, wird nicht für die spätere Verschlüsselung der Kommunikation benutzt,

Viele Grüße
Stefan

[feldmaus]

Ich werfe mal den Link/Text von Wikipedia mit ins Spiel,
https://de.wikipedia.org/wiki/Verschl%C ... %BCsselung

Und dazu das Video auf Youtube,
https://youtu.be/IlQmHirRa8o

[DeletedUserReAsG]

Da steht auch drin, warum die Frage, ob man das Senden des öffentlichen Schlüssels verbieten kann, eigentlich unsinnig ist, ja. Der öffentliche Schlüssel ist öffentlich, weil man damit eben nur ver- und nicht entschlüsseln kann (gut, es geht auch andersrum: man kann mit dem öffentlichen Schlüssel entschlüsseln, wenn es mit dem dazugehörigen privaten Schlüssel verschlüsselt worden ist – das heißt dann „signieren“, und hat mit ssh erstmal nix zu tun).

[feldmaus]

So habe ein super Dokument gefunden, wo die mathematische Seite einfach erklärt wird,

http://www.dkruse.de/dokumente/netzwerk ... selung.pdf

[TomL]

Du solltest aber verstehen, dass der SSH-Traffic nicht asymmetrisch verschlüsselt wird, sondern immer symmetrisch. Der asymmetrische Teil in der Kommunikation dient nur der Authentifizierung und dem Ausstausch eines Sitzungsschlüssels. An der Stelle wäre also die Frage wichtig, wie man anstatt eines statischen Schlüssel einen ephemeren erzwingt. Da weiss ich aber jetzt gerade gar nicht, wie da die Defaults in SSH2 sind.

Dazu einfach mal hiernach googlen: "SSH perfect forward secrecy"