¿El cambio de clave SSH tiene lugar en el túnel encriptado o fuera de él?

1

Cuando se cambia la clave de una sesión SSH, ¿tiene lugar el nuevo intercambio de claves dentro del canal encriptado existente, o tiene lugar fuera del canal encriptado existente?

    
pregunta SSH Question 08.03.2017 - 05:03
fuente

1 respuesta

1

El intercambio de claves se realiza utilizando cualquier cifrado que estuviera vigente cuando se inició el intercambio

rfc4253

  
  1. Cambio de clave

         

    El intercambio de claves se inicia enviando un paquete SSH_MSG_KEXINIT   cuando no esté realizando un intercambio de claves (como se describe en la Sección   7.1). Cuando se recibe este mensaje, una parte DEBE responder con su propio mensaje SSH_MSG_KEXINIT, excepto cuando se recibe el mensaje.   SSH_MSG_KEXINIT ya era una respuesta. Cualquiera de las partes PUEDE iniciar la   volver a intercambiar, pero las funciones NO DEBEN ser cambiadas (es decir, el servidor   sigue siendo el servidor, y el cliente sigue siendo el cliente).

         

    El intercambio de claves se realiza utilizando cualquier cifrado que haya en   Efecto cuando se inició el intercambio. Cifrado, compresión y   Los métodos MAC no se cambian antes de que se envíe un nuevo SSH_MSG_NEWKEYS   después del intercambio de claves (como en el intercambio de claves inicial).   El intercambio se procesa de manera idéntica al intercambio de claves inicial,   a excepción del identificador de sesión que permanecerá sin cambios. Eso   es permisible cambiar algunos o todos los algoritmos durante el   re-intercambio Las claves de host también pueden cambiar. Todas las llaves y   Los vectores de inicialización se vuelven a calcular después del intercambio.   Se restablecen los contextos de compresión y cifrado.

         

    Se RECOMIENDA que las claves se cambien después de cada gigabyte de
      datos transmitidos o después de cada hora de conexión, cualquiera que sea   viene antes Sin embargo, dado que el intercambio es una clave pública
      operación, requiere una buena cantidad de potencia de procesamiento y debe   no se realiza con demasiada frecuencia.

         

    Se pueden enviar más datos de aplicaciones después del paquete SSH_MSG_NEWKEYS   ha sido enviado; intercambio de claves no afecta a los protocolos que se encuentran
      por encima de la capa de transporte SSH.

  2.   
    
respondido por el CaffeineAddiction 08.03.2017 - 05:54
fuente

Lea otras preguntas en las etiquetas