Дар муштариёни SSH OpenSSH ва PuTTY ( дар PuTTY ва дар OpenSSH), боиси ихроҷи иттилоот дар алгоритми гуфтушуниди пайвастшавӣ мегардад. Ин осебпазирӣ ба ҳамлагар имкон медиҳад, ки трафики муштариро боздорад (масалан, вақте ки корбар тавассути нуқтаи дастрасии бесими аз ҷониби ҳамлакунанда идорашаванда пайваст мешавад) кӯшиши пайваст кардани мизоҷро ба ҳост, вақте ки муштарӣ ҳанӯз калиди хостро кэш накардааст, ошкор кунад.
Донистани он, ки муштарӣ бори аввал барои пайваст шудан кӯшиш мекунад ва дар паҳлӯяш калиди ҳост надорад, ҳамлакунанда метавонад пайвастро тавассути худ (MITM) пахш кунад ва ба муштарӣ калиди хости худро диҳад, ки муштарии SSH онро баррасӣ мекунад. калиди мизбони мақсаднок бошед, агар он изи ангушти калидро тасдиқ накунад. Ҳамин тариқ, ҳамлакунанда метавонад MITM-ро бидуни бедор кардани шубҳаи корбар ташкил кунад ва сеансҳоеро, ки дар он тарафи муштарӣ аллакай калидҳои ҳостро кэш кардааст, нодида гирад, кӯшиши иваз кардани он боиси огоҳӣ дар бораи тағир додани калиди ҳост мегардад. Ҳамла ба беэҳтиётии корбароне асос ёфтааст, ки ҳангоми пайвастшавӣ бори аввал изи ангушти калиди ҳостро дастӣ тафтиш намекунанд. Онҳое, ки изи ангуштони калидиро тафтиш мекунанд, аз ин гуна ҳамлаҳо ҳифз мешаванд.
Ҳамчун нишона барои муайян кардани кӯшиши аввалини пайвастшавӣ, тағирот дар рӯйхати алгоритмҳои калиди ҳости дастгирӣшаванда истифода мешавад. Агар пайвасти аввал рух диҳад, муштарӣ рӯйхати алгоритмҳои пешфарзро интиқол медиҳад ва агар калиди ҳост аллакай дар кэш бошад, алгоритми алоқаманд дар ҷои аввал гузошта мешавад (алгоритмҳо аз рӯи афзалият мураттаб карда мешаванд).
Мушкилот дар нашрҳои OpenSSH аз 5.7 то 8.3 ва PuTTY 0.68 то 0.73 пайдо мешавад. Мушкилот дар масъала бо илова кардани имконоти ғайрифаъол сохтани сохтори динамикии рӯйхати алгоритмҳои коркарди калидҳои мизбон ба манфиати номбар кардани алгоритмҳо бо тартиби доимӣ.
Лоиҳаи OpenSSH тағир додани рафтори муштарии SSH-ро ба нақша нагирифтааст, зеро агар шумо дар навбати аввал алгоритми калиди мавҷударо нишон надиҳед, кӯшиш карда мешавад, ки алгоритми ба калиди кэшшуда мувофиқат накунад. огоҳӣ дар бораи калиди номаълум намоиш дода мешавад. Онхое. интихоб ба миён меояд - ё ихроҷи иттилоот (OpenSSH ва PuTTY), ё огоҳиҳо дар бораи тағир додани калид (Dropbear SSH), агар калиди захирашуда ба алгоритми аввал дар рӯйхати пешфарз мувофиқат накунад.
Барои таъмини амният, OpenSSH усулҳои алтернативии санҷиши калиди ҳостро бо истифода аз вурудоти SSHFP дар DNSSEC ва сертификатҳои ҳост (PKI) пешниҳод мекунад. Шумо инчунин метавонед интихоби мутобиқшавии алгоритмҳои калиди ҳостро тавассути опсияи HostKeyAlgorithms ғайрифаъол кунед ва опсияи UpdateHostKeys-ро истифода баред, то ба муштарӣ имкон диҳад, ки пас аз тасдиқи аутентификатсия калидҳои ҳостҳои иловагӣ ба даст оранд.
Манбаъ: opennet.ru