в начало  предыдущее  закрыть  следущее  в конец
141090, Московская область, г.Королев, мкр.Юбилейный, ул. Ленинская, д.4, пом.7
Тел: +7(495)589-99-53 Тех.поддержка:+7(499)110-90-40 e-mail: support@lissi.ru
Главная страница / Продукты / VPN/Tunnel/SSH / ПК «FoxSSH»

SSH с поддержкой российских криптоалгоритмов

(ПК «FoxSSH» / ПК «FoxPutty»)

SSH (англ. Secure Shell — «безопасная оболочка») — сетевой протокол прикладного уровня, позволяющий получить безопасный доступ к удаленному компьютеру. Безопасный доступ к удаленному компьютеру может быть необходим для различных целей:

Безопасный доступ при использовании SSH-2 достигается двумя составляющими:

Защита от несанкционированного доступа путем аутентификации клиента на сервере с использованием механизмов электронной подписи.

Общий принцип для аутентификации на основе электронной, в протоколе SSH-2, таков:

С помощью программы ssh-keygen, должна быть сгенерирована пара ключей, публичный ключ ( public key ) и секретный ключ ( private key )

Клиент, отправляет SSH серверу свой публичный ключ и запрашивает аутентификацию по данному ключу.

Сервер проверяет файл ~/.ssh/authorized_keys, если такой ключ найден, SSH сервер отправляет клиенту сообщение, подписанное найденным публичным ключом пользователя.

Клиент должен проверить подпись с помощью своего приватного ключа. Если приватный ключ защищен паролем, программа ssh, попросит пользователя ввести пароль, чтобы сначала получить доступ к самому ключу.

Если подпись сообщения проверена успешно, правильность публичного и приватного, ключей, считается подтвержденной и пользователю предоставляется доступ в систему.

Вычисление и проверку электронной подписи (ЭП) FoxSSH-2 выполняется в соответствии с ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 с длиной публичного ключа как 512 бит, так и 1024 бита.

Для создания и управления ключами, предназначена программа ssh-keygen, так-же входящая в пакет программного обеспечения FoxSSH-2:

#ssh-keygen –t <тип ключа>

Опция <тип ключа> может принимать следующие значения:


В процессе генерации создается файл с секретным и файл с публичным ключом:


Секретный ключ, всегда остается у клиента и никому никогда не передается.

Публичный ключ копируется на удаленный SSH сервер и добавляется в специальный файл, известный SSH серверу. По-умолчанию, для хранения публичных ключей, используется файл ~/.ssh/authorized_keys. Файл для хранения ключей назначается в файле конфигурации SSH сервера директивой AuthorizedKeysFile.

Ключи для сервера FoxSSH-2 генерятся аналогичным образом.

После того как ключи сгенерированы, публичный ключ пользователя добавлен на стороне сервере в файл authorized_keys можно начинать пользоваться FoxSSH-2. Для этого сначала на стороне сервера следует запустить (если он не был запущен) сервер foxsshd:

#/usr/bin/foxsshd –f /usr/local/etc/foxssh/foxsshd_config

После этого можно запускать клиента foxssh:

#./foxssh a513@192.168.0.196 -p 2022 -c gost-cfb -m hmac-gosthash3411-2012-256

Опция –с задает с помощью какого механизма будет шифроваться трафик. FoxSSH поддерживает шифрование трафика в соответствии с ГОСТ-28147-94 в режимах CFB и ECB. В качестве криптоядра в FoxSSH используется СКЗИ «ЛИРССЛ». Для того, чтобы узнать, с помощью каких механизмов можно шифровать трафик, достаточно выполнить команду:


bash-4.3$ ./foxssh -Q cipher

3des-cbc

blowfish-cbc

cast128-cbc

gost-cfb

gost-ecb

bash-4.3$

Опция –m определяет механизм контроля целостности трафика. FoxSSH поддерживает следующие механизмы контроля целостности:

  • hmac-gosthash3411-94;<\b><\p><\li>

  • hmac-gosthash3411-2012-256;<\b><\p><\li>

  • hmac-gosthash3411-2012-256.<\b><\p><\li>

    Получить список поддерживаемых механизмов контроля целостности можно выполнив команду:

    bash-4.3$ ./foxssh -Q mac

    hmac-sha1

    ...

    hmac-sha1-96-etm@openssh.com

    ...

    hmac-gosthash3411-94

    hmac-gosthash3411-2012-256

    hmac-gosthash3411-2012-512

    bash-4.3$

    Помимо клиента FoxSSH-2 получить доступ по протоколу SSH-2 с российской криптографией можно также, воспользовавшись клиентом FoxPuTTY-2.

    В этом случае генерация пользовательской ключевой пары выполняется утилитой foxputtygen:


    Генерация ключевой пары пользователя с сохранением ее в файле PUTTY_GOST2001 выполняется командой:

    bash-4.3$ ./foxputtygen -t gost3410-2001 -o PUTTY_GOST2001

    Enter passphrase to save key:

    Re-enter passphrase to verify:

    bash-4.3$

    После генерации ключевой пары необходимо получить публичный ключ в формате openssh-2 :

    bash-4.3$ ./foxputtygen PUTTY_GOST2001 -O public-openssh -o PUTTY_GOST2001.pub

    bash-4.3$ cat PUTTY_GOST2001.pub

    ssh-gost3410-2001

    AAAAEXNzaC1nb3N0MzQxMC0yMDAxAAAAByqFAwICHgEAAAAHKoUDAgIkAAAAAEAwN0TpyNrx+I3

    NOW7tVKK1i+S9Eblssdfjw4jyxQ2b24QpI4dXMHM5bfq3YBG5iRJc5g6b5jcEFiGzHfCMjKVM gost3410-

    key-20150728

    bash-4.3$

    Полученный публичный ключ как и в случае с клиентом foxssh необходимо добавить на стороне сервера foxssh в файл authorized_keys.

    Теперь можно запускать клиента foxputty:


  • Нажмите кнопку "Open" и вы на удаленном компьютере:


    Метки: foxputty, foxssh, pkcs11, pkcs12, putty, ssh, СКЗИ "ЛИРССЛ-CSP".
    © 2002-2018. ООО "ЛИССИ-Софт". Все права защищены
    Телефон: +7(495) 589-99-53
    Техническая поддержка: +7(499) 110-90-40
    E-mail: support@lissi.ru
    Принимаем к оплате