web-dev-qa-db-ja.com

弱いSSH暗号のリストはありますか?

(Open-)SSHの弱い暗号スイートのリストを提供するサイトはありますか?たとえば、arcfourは推奨されないことは知っていますが、他の暗号スイートのリストがすべてありますが、私にはよくわかりません。

7
skipper

ほとんどのシステムでは、OpenSSHはAES、ChaCha20、Blowfish、CAST128、IDEA、RC4、および3DESをサポートしています。あなたが使用している対称暗号について話していると思います。 HMACとキー交換についても疑問がある場合は、私の回答を編集して、どちらが強いか弱いかを説明できます。

いいもの

AESとChaCha20は、現在サポートされている最高の暗号です。 AESは業界標準であり、現在すべてのキーサイズ(128、192、および256)がさまざまなモード(CTR、CBC、およびGCM)でサポートされています。 ChaCha20はより近代的な暗号であり、非常に高いセキュリティマージンで設計されています。とても速いです。 AESは安全ですが、CBCモードはいくつかの潜在的な vulnerabilities につながるため、推奨されなくなりました。 CTRモード、またはより優れたGCMが推奨されます。一方、ChaCha20はストリーム暗号であるため、ブロックモードの動作を使用しないため、CBCを安全に使用できません。 ChaCha20はさらに、認証に Poly1305 を使用するため、HMACは不要です。 HMACとは異なり、Poly1305はハッシュアルゴリズムのセキュリティの前提に依存しません。基盤となる暗号が安全である限り、認証は破られません。

悪い人

Blowfish、IDEA、およびCAST128自体はbad暗号ではありませんが、64ビットのブロックサイズを持っています。つまり、キーは定期的に再シードする必要があります。さらに、3DESは ミートインザミドルアタック により、効果的なセキュリティが168ビットから112ビットに減少しました。これは恐ろしいことではありませんが、理想的ではありません。 64ビットブロックサイズの問題は、 Sweet32 Webサイト でかなりよく説明されており、攻撃が可能になったことを説明しています。その要点は、単一のキーで大量のデータを暗号化すると、平文に関する情報が漏洩する可能性があることです。 32 GiB=のデータが暗号化されると、事態は非常に悪化します。4GiBごとにキーを変更することをお勧めします。小さいブロックサイズはそれほど大きくありませんが、OpenSSHは自動的にこれらの暗号を再シードします暗号自体は特に悪いわけではありません。これらの暗号は古くからあるものの、暗号を完全に破ることを可能にする既知の攻撃の対象ではありません。より優れた代替策があります。

ぶさいく

Arcfour、またはRC4は、あなたが特に安全ではないと述べたとおりです。重大 統計的バイアス はしばらくの間存在することが知られており、新しい攻撃が発見され続けています。 OpenSSHは暗号の問題のある最初の1536バイトをドロップしますが、それでも他のさまざまな攻撃の影響を受けます。 RC4の使用は避けてください。

全体として、ChaCha20またはAESを使用し、RC4を回避する必要があります。下位互換性のために必要な場合にのみ、3DESを使用してください。最新のインストールにおけるデフォルトのOpenSSH設定は、事実上すべての状況で問題ありません。デフォルトを使用しても問題はありません。

9
forest

フォレストの回答に追加するために、ハッシュ(またはHMAC)、公開鍵と秘密鍵の暗号など、対称暗号以外の追加の暗号化機能があります。

NIST 140-2はこのすべてをカバーしています。 https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

2
MikeP