AとBという2つのサーバーがあります。
「A」はssh-keygenを実行し、秘密鍵を「B」にコピーします。どちらも同じ id_rsa を持ちます。
どちらのサーバも公開SSHキーを使用してサーバ「C」に接続されます。
Q:はい:サーバー「A」はサーバー「B」とサーバー「C」の間のSSH通信を復号化できますか?
それともSSHに完全な配信プライバシー機能があり、SSH秘密鍵の「漏洩」が問題になりませんか?
ベストアンサー1
PFSは正しく設定されている限り、SSHの機能のようです。したがって、サーバーAがサーバーBとサーバーCの通信を復号化できるかどうか疑われます。ただし、セキュリティを最大化するには、クライアントごとに異なるキーを使用するのが最善です。キーが破損している場合、PFSはクライアント認証には役立ちませんので、すぐに変更してください。
編集する:ssh-keygenまた、生成されたキーはクライアントを認証するためにのみ使用され、実際にセッションを暗号化するわけではありません。したがって、実際に鍵を共有すると、クライアントがお互いを偽装できることを明確にする必要があります。また、PFSは通信を復号化できるかどうかには関係ありません(クライアントごとにセッション暗号化用の他の秘密鍵があり、サーバーの秘密鍵がわからないため)、破損した1つのセッションがすべてのセッションを破壊するのを防ぎます。
源泉: https://utcc.utoronto.ca/~cks/space/blog/tech/SshForwardSecrecy
https://www.ietf.org/rfc/rfc4251.txtセクション 9.3.7 では、SSH が DH 鍵交換を使用し、PFS をサポートしていると述べています。
プロセスのしくみについて詳しくは、この記事を読んでください。 SSH暗号化と接続プロセスについて学ぶ