Cuando se cambia la clave de una sesión SSH, ¿tiene lugar el nuevo intercambio de claves dentro del canal encriptado existente, o tiene lugar fuera del canal encriptado existente?
Cuando se cambia la clave de una sesión SSH, ¿tiene lugar el nuevo intercambio de claves dentro del canal encriptado existente, o tiene lugar fuera del canal encriptado existente?
El intercambio de claves se realiza utilizando cualquier cifrado que estuviera vigente cuando se inició el intercambio
Cambio de clave
El intercambio de claves se inicia enviando un paquete SSH_MSG_KEXINIT cuando no esté realizando un intercambio de claves (como se describe en la Sección 7.1). Cuando se recibe este mensaje, una parte DEBE responder con su propio mensaje SSH_MSG_KEXINIT, excepto cuando se recibe el mensaje. SSH_MSG_KEXINIT ya era una respuesta. Cualquiera de las partes PUEDE iniciar la volver a intercambiar, pero las funciones NO DEBEN ser cambiadas (es decir, el servidor sigue siendo el servidor, y el cliente sigue siendo el cliente).
El intercambio de claves se realiza utilizando cualquier cifrado que haya en Efecto cuando se inició el intercambio. Cifrado, compresión y Los métodos MAC no se cambian antes de que se envíe un nuevo SSH_MSG_NEWKEYS después del intercambio de claves (como en el intercambio de claves inicial). El intercambio se procesa de manera idéntica al intercambio de claves inicial, a excepción del identificador de sesión que permanecerá sin cambios. Eso es permisible cambiar algunos o todos los algoritmos durante el re-intercambio Las claves de host también pueden cambiar. Todas las llaves y Los vectores de inicialización se vuelven a calcular después del intercambio. Se restablecen los contextos de compresión y cifrado.
Se RECOMIENDA que las claves se cambien después de cada gigabyte de
datos transmitidos o después de cada hora de conexión, cualquiera que sea viene antes Sin embargo, dado que el intercambio es una clave pública
operación, requiere una buena cantidad de potencia de procesamiento y debe no se realiza con demasiada frecuencia.Se pueden enviar más datos de aplicaciones después del paquete SSH_MSG_NEWKEYS ha sido enviado; intercambio de claves no afecta a los protocolos que se encuentran
por encima de la capa de transporte SSH.