it-swarm-tr.com

SSL vs SSH arasındaki fark nedir? Hangisi daha güvenli?

SSH ve SSL arasındaki fark nedir? Hangisi daha güvenlidir, eğer bunları karşılaştırabilirseniz birlikte?
Hangisinde daha fazla potansiyel açık var?

212
Am1rr3zA

SSL ve SSH'nin her ikisi de, gizli bütünlüğün kontrol edilmiş bütünlüğü ile bir tünel oluşturmak için kriptografik elemanlar sağlar. Bu kısımda, benzer teknikler kullanırlar ve aynı tür saldırılara maruz kalabilirler, bu nedenle her ikisinin de doğru bir şekilde uygulandığını varsayarak benzer güvenlik (yani iyi güvenlik) sağlamalıdırlar. Her ikisi de bir tür NIH sendromudur: SSH geliştiricileri tünel kısmı için SSL'yi yeniden kullanmış olmalıdır (SSL protokolü birçok varyasyonu kapsayacak kadar esnektir, sertifika kullanmamak dahil).

Tünelin etrafındaki şeylerde farklılık gösterirler. SSL, sunucu ve istemci ortak anahtarlarını duyurmak için geleneksel olarak X.509 sertifikalarını kullanır; SSH'nin kendi formatı vardır. Ayrıca SSH, tünelin içine (birkaç aktarımı çoğaltmak, tünel içinde şifre tabanlı kimlik doğrulaması yapmak, terminal yönetimi) için bir dizi protokol ile birlikte gelir. ..) SSL'de böyle bir şey olmasa da, daha doğrusu, SSL'de bu tür şeyler kullanıldığında, SSL'nin bir parçası olarak kabul edilmezler (örneğin, bir SSL tünelinde şifre tabanlı HTTP kimlik doğrulaması yaparken, "HTTPS" nin bir parçası olduğunu, ancak gerçekten SSH ile olana benzer bir şekilde çalıştığını varsayalım).

Kavramsal olarak, SSH alabilir ve tünel kısmını SSL'den olanla değiştirebilirsiniz. HTTPS'yi alabilir ve SSL şeyini SSH-veri-aktarımı ve sunucu ortak anahtarını sertifikasından çıkarmak için bir kanca ile değiştirebilirsiniz. Bilimsel imkansızlık yoktur ve düzgün yapılırsa güvenlik aynı kalır. Bununla birlikte, bunun için yaygın bir dizi sözleşme veya mevcut araç yoktur.

Bu yüzden SSL ve SSH'yi aynı şeyler için kullanmıyoruz, ancak bu, bu protokollerin uygulamalarıyla tarihsel olarak hangi araçların geldiğinden kaynaklanmaktadır, güvenlikle ilgili fark. SSL veya SSH uygulayanlar, her iki protokolde de ne tür saldırıların denendiğine bakmaları iyi bir şekilde tavsiye edilir.

199
Thomas Pornin

Bu yapılması makul bir karşılaştırma değil. SSL, bir ağ üzerinden taşınan verileri korumak için genel bir yöntem iken, SSH, oturum açmak ve uzak bir bilgisayarla veri paylaşmak için kullanılan bir ağ uygulamasıdır.

SSH'deki taşıma katmanı koruması SSL özelliğine benzer, bu nedenle "daha güvenli" özel tehdit modelinizin neyi gerektirdiğine ve ele almaya çalıştığınız sorunların her adresinin uygulanıp uygulanmayacağına bağlıdır.

SSH daha sonra SSL'nin eksik olduğu bir kullanıcı kimlik doğrulama katmanına sahiptir (buna ihtiyaç duymadığı için SSL'nin SSH'nin de yapabileceği iki bağlantı arayüzünü doğrulaması gerekir). UTF-8 sanatında:

      SSL              SSH
+-------------+ +-----------------+
| Nothing     | | RFC4254         | Connection multiplexing
+-------------+ +-----------------+
| Nothing     | | RFC4252         | User authentication
+-------------+ +-----------------+
| RFC5246     | | RFC4253         | Encrypted data transport
+-------------+ +-----------------+

Potansiyel saldırıların daha fazla olduğu meseleye ilişkin olarak, SSH'nin daha büyük bir saldırı yüzeyine sahip olduğu açıktır. Ancak bunun nedeni SSH'nin içinde bütün bir uygulamanın bulunması: SSL + sağlamanız gereken herhangi bir uygulama saldırı yüzeyi karşılaştırılamıyor çünkü yeterli bilgiye sahip değiliz.

87
user185

Katı bir kriptografik bakış açısından, her ikisi de kimlik doğrulamalı şifreleme sağlar, ancak iki farklı şekilde.

SSH, şifrelenmiş mesajın, bütünlük eklemek için açık mesajın bir mesaj kimlik doğrulama koduna (MAC) yan yana yerleştirildiği Şifrele ve MAC olarak adlandırılır. Bunun her zaman tam olarak güvenli olduğu kanıtlanmamıştır (pratik durumlarda yeterli olsa bile).

SSL MAC-sonra-Şifreleme kullanır: bir MAC açık metne bitişiktir, sonra ikisi de şifrelenir. Bu en iyi değil, çünkü bazı blok şifreleme modlarında MAC'ın parçaları tahmin edilebilir ve şifre üzerinde bir şey ortaya çıkarabilir. Bu, TLS 1.0'da (BEAST saldırısı) güvenlik açıklarına yol açtı.

Yani her ikisinin de potansiyel teorik zayıflıkları var. En güçlü yöntem, örneğin IPsec ESP'de uygulanan Encrypt-then-MAC'dir (şifrelenmiş mesajın MAC'sini ekleyin).

12
Halberdier

Bu karşılaştırmanın gözden kaçan bir yönü olduğunu düşünüyorum. user185 yaklaştı ama tam olarak oraya ulaşmadı. Bunların elma ve portakal olduğuna katılıyorum ve elmalara kıyasla daha iyi bir elma hissettiklerini HTTPS ve SSH olarak görüyorum. HTTPS ve SSH, OSI modelinin farklı katmanlarını kullanır ve bu nedenle verileri iletimde farklı zamanlarda şifreler. O zaman sorulması gereken gerçek sorular, bu veri iletim sırasında ne zaman şifrelenir ve şifrelenmez. Bu, potansiyel saldırı yüzeylerinizi ortaya çıkaracaktır. HTTPS ile, paket hedef ağdaki bir cihaz tarafından alındığında (Web Sunucusu, Sınır Yönlendiricisi, yük dengeleyici, vb.) Şifrelenmez ve yolculuğunun geri kalanını düz metin olarak geçirir. Birçoğu, trafik şu anda dahili olduğu için bunun büyük bir anlaşma olmadığını savunuyor, ancak yükte hassas veriler varsa, geçtiği her ağ cihazının günlük dosyalarında şifrelenmemiş olarak saklanıyor. son Durak. SSH ile, tipik olarak, hedef cihaz belirtilir ve iletim bu cihaza ulaşana kadar şifrelenir. HTTPS verilerini yeniden şifrelemenin yolları vardır, ancak bunlar ortamlarında bir HTTPS çözümü uygularken atmayı en çok unutmak için ek adımlardır.

3
Sam Moore

ssh bir anahtar (özel) ve kilit (genel) gibidir

ssl kapı ve tuğla gibidir.

ssl iki bilgisayar sunucusu arasında güvenli bir bağlantı sağlar. örneğin, sizin ve bağlantınız.

ssh, bağlanan bilgisayarın kendini nasıl doğrulayabildiğini ve erişim sağlayabildiğini gösterir.

2
datsusarachris

Sorun iki katlıdır, sadece şifrelemenin gücü ve zayıflığı değildir. Ancak bu, teslimatın kolaylığı ve kolaylığıdır. İş açısından bakıldığında SSL/TLS daha rahat ve daha kolaydır, çünkü sadece bir tarayıcı ve genel veya özel bir Sertifika gerektirir.

Ve SSH, uygulamayı kullanmak için uygulamayı veya ince istemciyi gerektirir. Bu, kullanıcının Internet istemcisi perspektifinden ve desteğinden daha çok bir sorundur.

Tüm kullanıcılar parlak değildir, özellikle de teknoloji ile mücadele edenler.

benim 2 sent.

0

SSL, tünellenen içerikten soyutlanan bir protokol katmanıdır. SSH, Shell'in (SH) güvenli bir sürümüdür, altında soyut bir katman içerecek şekilde tasarlanmamıştır, Shell trafiğini taşımak için özel olarak tasarlanmıştır. Bu nedenle, kripto işlemleri her ikisinde de kullanılsa ve bu kripto işlemleri aynı bile olsa, amaç ve genel tasarım oldukça farklıdır.

Unutmayın (yukarıda belirtildiği gibi) belirli farklılıklar vardır, ancak bu farklılıkların hepsi olmasa bile çoğu farklı protokollerin amacına dayanır.

0
Gobbly