Как вы расшифровываете файл SSH .pcap, который использует шифрование Диффи-Хеллмана. С открытым и закрытым ключами

Question

Как вы расшифровываете файл SSH .pcap, который использует шифрование Диффи-Хеллмана. С открытым и закрытым ключами.

Мы пытаемся пройти через Wireshark безуспешно.

Answer 1

Одним из преимуществ эфемерного Диффи-Хеллмана (шифровальные наборы DHE TLS) является то, что он обеспечивает идеальную секретность. Это означает, что даже если когда-нибудь злоумышленник получит закрытый DSA-ключ, используемый для аутентификации сервера (и, возможно, клиента), он не сможет вернуться и расшифровать любые сеансы, захваченные в прошлом.

Другими словами, вы не можете расшифровать эти записи, если не записали секретный сеансовый ключ; нет способа восстановить его потом.

Это отличается от наборов шифров RSA, где знание секретного ключа сервера позволяет расшифровать сеанс.

Answer 2

Поскольку сеанс зашифрован временным «сеансовым ключом», наличие открытых / закрытых ключей сервера и / или клиента в конце не имеет смысла для вас. Эти ключи используются только для проверки того, что не было атаки «человек посередине».

Чтобы расшифровать сеанс SSH, вы должны либо каким-либо образом получить ключ сеанса (возможно, подключив отладчик к клиенту с обеих сторон), либо выполнить атаку «человек посередине» - для этого требуется закрытый ключ сервер (и клиент, если используется аутентификация по ключу). Дополнительную информацию о последнем варианте можно найти здесь: http://taosecurity.blogspot.com/2007/08/loving-ssh.html