LINUX.ORG.RU

Алгоритм шифрования в ssh


0

0

К сожалению пока не очень хорошо разбираюсь в алгоритмах шифрования, поэтому прошу помощи. Подскажите пожалуйста, какой алгоритм лучше всего выбрать при настройке ssh сервера, для обесп. максимальной безопасности?

Поддерживаемые (из man sshd_config):

Ciphers
Specifies the ciphers allowed for protocol version 2.

aes128-ctr, aes192-ctr, aes256-ctr, arcfour256, arcfour128,
aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, aes192-cbc,
aes256-cbc, arcfour

Заранее благодарю :))

★★

а что, разве в медицинской практике известны случаи кряков SSH с каким бы то ни было алгоритмом (не считая недавнего фэйла в Debian при генерации ключей)?

pupok ★★
()
Ответ на: комментарий от pupok

Ту ошибку при генерации ключей в openssl уже давно исправили.
А на счет алгоритмов я не в курсе. Но вроде же пишут что 3des не безопасен и т.д.

static ★★
() автор топика

У меня так:

aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,cast128-cbc,b lowfish-cbc,3des-cbc.

feanor ★★★
()

aes (rijndael) рекомендуемый (и используемый по умолчанию) шифр, достаточно быстр и обеспечивает сильную защиту

128 192 256 - длина ключа, чем длиннее ключ , тем сложнее вскрыть шифр, но тем он медленнее

blowfish, старый де-факто стандарт сильного шифрования


3des - самый слабый из перечисленных, используются 3 ключа по 56 бит, достаточно устарел и при наличии хороших вычислительных мощностей может быть вскрыт

подробности смотрите в википедии или еще где, но рекомендуется использовать семейство aes (оно же и используется по умолчанию)

anonymous
()
Ответ на: комментарий от static

Кстати, вычитал о том что при использовании cbc шифрования, появляется дыра. Ктонибудь в курсе, в какой версии ее прикрыли? Или ее вообще еще не прекрыли?

static ★★
() автор топика

aes-192-cbc. aes самый быстрый и лучше всего исследован. 192 потому, что в aes-256 нашли дыру и сложность подбора <128, тоесть его взломать проще, чем aes-128(в википедии есть ссылка на блог Шеннона), хотя пока еще все равно невозможно. cbc потому, что без cbc одинаковые блоки текста зашифрованными будут также одинаковыми, это уязвимость.

anonymous
()
Ответ на: комментарий от anonymous

временная сложность <2**128 конечно

anonymous
()
Ответ на: комментарий от anonymous

>в википедии есть ссылка на блог Шеннона

А можно ссылку на его блог? Не нашел в википедии. Это если вы не оговорились и не имели ввиду Шнайера.

vorpal
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.