我正在读SSH当我在文章的第一段看到以下句子时
via a secure channel over an insecure network
1)在什么情况下提到渠道和网络
2)如何才能保证通道安全但网络不安全,反之亦然,我希望能够举例说明
答案1
无论您的机器连接到什么网络,该通道都是一个加密隧道。
例如,假设你带着笔记本电脑去有公共 Wi-Fi 的咖啡店。任何人都可以看到从你的机器发送和接收的所有流量。因此,你创建一个到你家里(或任何地方)的服务器的 SSH 隧道,并通过那里发送你的网络流量。因此,任何潜在的窃听者都只能看到加密的数据包。
因此,您的通信仍然是安全的。
相反的情况是私人网络不连接到任何不受信任的计算机,例如家庭局域网。在这种情况下,你可以控制所有硬件,因此可以安全地进行明文通信。(至少,假设你不是已连接至互联网。
答案2
1) 通道是您在受信任的计算机之间建立 SSH 隧道时获得的安全通信通道。网络是传输数据的机器(计算机、路由器、交换机)的物理网络。数据被切分成数据包,通过网络发送到目标机器。您可以将通道想象成通过加密保护的虚拟管道。通过该虚拟管道的所有内容都使用底层网络作为加密数据包传输。
2) 大多数时候你不能信任网络,因为你无法完全控制所有机器。如果有人控制了传输(转发)你的数据包的机器,他就可以读取或更改它们。为了防止此类攻击,你可以使用加密,如 SSH。加密意味着以某种方式更改明文,只有你有密钥才能将其恢复。要在不安全的网络上获得安全通道,你必须做两件事:
- 确认您正在与正确的机器/人交谈。
- 建立安全(加密)通道,使用别人不知道的密钥(共享秘密)
为了实现这些目标,SSH 在两端都使用公钥加密。为了确保您正在与正确的机器 (1.) 对话,您必须检查指纹。之后,两端协商用于加密数据的共享密钥。为此,通常迪菲一赫尔曼用来。
因为您已确认您正在与正确的通信伙伴交谈,并且您安全地交换了共享密钥以对称加密数据,所以没有人可以再更改或读取您的通信。您在一个不安全的网络上拥有一个安全通道。
答案3
是否可以同时拥有安全通道和不安全网络
你可以拥有一个“安全渠道”超过通过使用加密来保护不安全的通道或网络。加密可视为网络或其他介质上的附加“层”。
如果 Alice 和 Bob 想要通过任何人都可以监听的网络互相交谈,如果 Alice 拥有 Bob 的加密密钥,而 Bob 在他们开始交谈之前拥有 Alice 的加密密钥,那么这很容易。
为了保证密钥的安全,Alice 和 Bob 绝不应该通过网络以明文形式传输密钥。
现在,如果他们之前没有在网络外交谈过,那么有办法安全地交换密钥,例如迪菲一赫尔曼TLS/SSL/SSH 使用哪个。