SSH その8

[688 名無しさん＠お腹いっぱい。 2024/07/18(木) 23:03:11.79]

公開鍵の話と共有鍵の話がごっちゃになってるな

ssh とか TSL とかでは最初に長めの公開鍵暗号で認証して
セッションごとに新しく生成した短めの共有鍵を公開鍵暗号の秘密鍵で暗号化して交換する
その後のセッションは短い共有鍵を使って暗号化して通信する
ずっと長い公開暗号鍵を使って通信しているわけではない
計算量が無駄なので公開鍵暗号は最初の共有鍵を交換するまでしか使用しない

[689 名無しさん＠お腹いっぱい。 2024/07/18(木) 23:19:25.08]

再交換も公開鍵暗号では？
え？違うの？？

[690 名無しさん＠お腹いっぱい。 2024/07/19(金) 09:14:06.19]

>>689
再交換といってるのが数時間ごととかにやってる認証のやり直しのことならセッションIDの交換以外の全部をやり直すので公開鍵も使う
基本的に稀なのでパフォーマンスに影響はない

[691 名無しさん＠お腹いっぱい。 2024/07/19(金) 12:27:30.17]

ずっと公開鍵暗号方式で暗号化してると思いこんでる人は多い

[692 名無しさん＠お腹いっぱい。 2024/07/19(金) 22:54:05.77]

鍵長が長いから処理が重いとか書いてあるよね
そんな一瞬のスピードも重要なのか？っていうね

[693 名無しさん＠お腹いっぱい。 2024/07/20(土) 19:10:14.76]

今はCPUパワーも上がったので重くはないんだろうけど
ペンティアム時代はCPUで大量の暗号・復号処理をさせると重いので
それ専用ハードをつなげてた企業もあったよ

[694 名無しさん＠お腹いっぱい。 2024/07/20(土) 19:39:10.05]

組み込み機器でも使うわけだし処理効率は未だに厳しいのでは？

[695 名無しさん＠お腹いっぱい。 2024/10/11(金) 11:59:13.71]

VPN経由でネットワークに侵入されたとかニュースでよく見るけど、どんな脆弱性を突かれたんだろうね
一方、SSHでそういう事は無いのだろうか？知らないだけなのかな

[696 名無しさん＠お腹いっぱい。 2024/10/12(土) 06:53:41.94]

未だにポート22のパスワードアタックがある時点でお察し

VPNは、専用ハード（VPNルーター）でやってるから、アップデートを怠ってる企業も多い
家にある光ルーターやWi-Fiルーターのアップデートしてる？

[697 名無しさん＠お腹いっぱい。 2024/10/13(日) 21:56:37.62]

パスワード認証の攻撃はあるけど公開鍵は滅多に無いなぁ
極稀にある公開鍵は誰かがミスってアクセスしているような気もするけどポート番号一致はおかしいし……
パスワード認証切ってる環境でも突破される可能性ってある？

[698 名無しさん＠お腹いっぱい。 2024/10/14(月) 09:02:07.05]

>>695
VPNは外部からLANに接続しているだけでセキュリティ対策なんて何もないぞ？

[699 名無しさん＠お腹いっぱい。 2024/10/14(月) 10:40:25.47]

SSL-VPNにしないの？

[700 名無しさん＠お腹いっぱい。 2024/10/14(月) 11:20:44.57]

VPN経由での侵入は暗号化破られたとかじゃなくて、ファイアウォールとVPN終端がきちんと分離できてないとかの、ネットワーク構成の不具合やVPNソフトのバグが原因ということが多い
暗号とかは実はあんまり関係ない

[701 名無しさん＠お腹いっぱい。 2024/10/14(月) 13:06:13.50]

>>697
>パスワード認証切ってる環境でも突破される可能性ってある？
横からだけどもこれはどう?
特定のIPアドレス以外叩き落とした上でパスワード認証切ってるけども
前者は過剰ならできれば外したい

[702 名無しさん＠お腹いっぱい。 2024/10/16(水) 07:33:58.52]

対策が過剰とか足りないとかは、個々の判断だと言うのは大前提として

鍵が漏洩した時のことを考えるなら、もう一つ別の要素の対策として、
IPアドレス制限を組み合わせるのはアリだと、オレは思う

[703 名無しさん＠お腹いっぱい。 2024/10/16(水) 23:04:04.13]

>>702
有難う

>対策が過剰とか足りないとかは、個々の判断だと言うのは大前提として
それはそうだね