使用密码对借助SSH连接树莓派

使用密码对进行 SSH 会话2017-03-31Rich目标：免密码登陆 价值：保证远程会话的安全 所需： 1.puttygen.exe，生成密码对 2.三方主体，用户、终端和服务器 总览： 一、SSH 密钥认证原理 二、具体配置过程 三、密码学应用小记 本文以远程登录树莓派做演示，方法适用于支持 SSH 会话的各类平台。一、SSH 密钥验证原理 1.主体三方介绍 假设会话主体是：用户肥呆（Rich）、终端小强（CR）和服务器不耐烦（FK），如下图图示（肥 呆控制小强电了不耐烦）：假设下面情况（密钥的生成跟使用在第二章介绍，现在只需知道密钥和公钥总是成对出现，称为 Key Pair，能且没法解开用别人加密的信息）： CR 持有客户端公钥和密码，分别记为 CP 和 CV； FK 持有服务器端公钥和密钥，分别记为 SP 和 SV。 2.会话的构建跟认证过程 第一步是生成会话密钥，看图说话：SKEY 是当次会话随机生成的，无储存必要，被窃也无安全隐患。到此处，CR 和 FK 只是确立 了安全的通信通道，彼此的身份并不透明，还必须借助认证方法，以确认别人能否是应找（服务）的 对象。认证方法如下图图示：其中，CR 的公钥 CP 是运用其他形式（比如管理员手动添加）存储在 FK 上的，具体方法第二 章介绍，只有持有 CR 私钥的对象可借助 FK 的认证。

正如其名，公钥是可以轻易发布出来的，私钥 需要妥善保管。puttygen 支持私钥加密，所以如果鉴权被盗也有安全保障。 使用密钥对进行 SSH 会话的弊端逐渐呈现： 1.无需使用远程系统用户的密钥登录，方便安全；2.不同客户端使用不同的秘钥对， 当服务器端更改了客户密码， 也无需通知各个客户端， 正为此， 各客户端无需知道客户密码，保证了服务器端的安全。 3.服务器端可以完全关闭密码验证方法的 SSH，消除了一大安全隐患。 二、具体配置过程 1.生成密码对 打开 puttygen.exe，可以发现如下界面：从界面底端可以发现 puttygen 支持的签名/加密算法，碍于篇幅，本文不详细介绍签名/加密的详 细方法跟功能，留作之后单独介绍，此处简略地对这几种算法进行说明： RSA：这就牛逼了！1977 年的算法，因算法独到，应用广泛，至今仍是主流的签名 /加密算法。 其机理基于分解大实数（两个素数的相乘）的困难性。 DSA：基于数有限域离散对数难题树莓派开启ssh服务，一般只用于签名。 ECDSA：ECC 和 DSA 的结合，ECC 是椭圆曲线算法。 SSH-1（RSA）：以上三种采用 SSH-2 格式，此种方法为兼容性而保留。

此几种算法都是非对称加密算法，区别于对称加密算法，如 DES、3DES、AES 等。非对称加 密算法中，一方密钥加密的内容只能由另一方密钥解密，而对称加密算法，加密和解读都使用同一个 密钥。非对称加密算法解决了密码分发的难题，但加解密效率、同样重量下的机密性不如对称加密算 法，所以两者一般结合使用，具体内容可以单独开篇了，先到此处。 随意选取一种算法，点击生成，如提示移动鼠标增加随机性，则在右图中蓝色的框内任意移动鼠 标，等待密钥对生成完成。生成的密钥如下所示：2.放置密钥对 密钥对生成后，可储存公钥和密钥。通常服务器有安全的机房保护，而客户端可能也是你的一个 手机，所以通常不要在客户端保存公钥。考虑如下情况，攻击者偷取了你的公钥，用这个公钥伪装成 你必须的服务器，就能钓鱼你！所以，公钥应只存在你确定过的安全服务器上，私钥应加密后妥善保 存在自己的机器上。加密方式就是填写密钥生成界面上的 Key passphrase 和 Confirm passphrase 字段，以后登陆时需输入这个密钥，此密码不同于服务器用户密钥，被盗后在服务器端删除相应的公 钥，则持有该密钥对应的秘钥也无济于事。

不加密则注册时可以做到免密码，视使用环境的安全级别 选择。 可以直接操作服务器，将公钥放置在如下位置： ~/.ssh/authuaction_keys 文件里，每一行对应一个公钥，如下图：私钥存在客户端，使用 Putty、PyCharm 远程安装修改和 iOS 上的 iTerminal（没错，包括手机 和平板）等时，都可以使用该私钥登录。这里使用 Putty 举例，需做如下设置： 1.Connection->SSH->Auth 菜单下，点击 Browse 选择保存的. 私钥文件2.Session 界面下，填入主机 IP，Saved Sessions 填入名称，点击 Save 保存，下次登录就可以 直接点击已保存的名字注册。3.登录后的图标如下图。到此，密钥对推进完毕。 三、密码学应用小记 肥呆所有自觉得重要的信息资产，比如私密电子邮件往来、所有台式机和笔记本硬盘、除方便拷 贝而未加密的一个 U 盘外的所有移动储存设施跟电脑，都配备了相应的加密方式保护：电子邮件： Comodo 提供的免费电子邮件证书， 电脑和手机发送短信时均使用该证书签名和加密， 具体内容既是一大篇，构思中； 固定和移动传输设备：Windows 10 version 1511 及后续版本支持的强化版 Bitlocker； 手机：指纹和密码锁。

其中，支持能认同平台组件（TPM）的设施能够避免暴力破解。为此肥呆不惜重金（对肥呆来 说算重金树莓派开启ssh服务， 其实...） 海淘了一个国产的 TPM， 沾沾自喜的觉得， 从此， 王子跟公主过上了...扯哪去了！ 有表述认为，以上加密方式老美都有相应的控制方式，使用这种产品的同时，连内裤都翻给老美 看了。肥呆持保留看法，毕竟那些加密算法都是开源的，实现方式除 Windows 提供的功能外也有开 源的，做不到齐天下，总得独善其身吧。 正所谓侯门一入深似海，肥呆在用密码把自己束缚的道路上越跑越远了。 完。Rich 2017 年 3 月 31 日

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-142928-1.html