리눅스 - ssh 동작 원리

디피-헬먼 키 교환(Diffie–Hellman key exchange)

암호 키를 교환하는 하나의 방법으로, 두 사람이 암호화되지 않은 통신망을 통해 공통의 비밀 키를 공유할 수 있도록 한다.

 

 

서버 인증

 

1. 서버에 생성된 공개키를 클라이언트의 know_host 파일에 저장
2. 클라이언트가 난수 값을 생성해 난수 값의 해시값을 저장 후 난수 값을 서버에게 공개키로 암호화해 이를 전달
3. 서버가 암호화한 난수 값을 개인키로 복호화, 이 난수의 해시값을 클라이언트가 전달받아 서버가 정상적인 서버인지를 검증

사용자 인증

1. 이번엔 클라이언트가 비대칭키(공개키, 비공개 키)를 생성해 서버에게 공개키(id_rsa.pub) 전달
2. 전달받은 공개키는 서버의 authorized_keys에 따로 보관
3. 서버가 난수를 생성해 해시값은 자신이 보관하고 난수 값을 공개키로 암호화해 클라이언트에게 전달
4. 클라이언트는 개인키로 암호화된 난수 값을 복호화해 해시값을 구한 다음 서버에게 전달 5. 서버는 클라이언트가 보낸 해시값과 자신이 보관하고 있는 해시가 일치한가를 검증

.pem 형식

AWS EC2는 키 파일 형태가 .pem 형식인데 이는 개인키 파일 형식이라고 한다. (.pub는 공개키)
.pub는 사전에 검증된 클라이언트만의 서버에 접근 가능한 인증 수단이지만 .pem 같은 경우는 여러 디바이스에서 .pem 키 파일만 가지고 있어도 언제는 서버로 접속이 가능하다.

.pem 형식 만들기

openssl rsa -in id_rsa -pubout -out id_rsa.pub.pem

https://unix.stackexchange.com/questions/26924/how-do-i-convert-a-ssh-keygen-public-key-into-a-format-that-openssl-pem-read-bio

How do I convert a ssh-keygen public key into a format that openssl PEM_read_bio_RSA_PUBKEY() function will consume?

접속 방법:

ssh -i key.pem 123.123.123.123

-i 옵션을 사용하면 된다.

참고:

SSH pem keygen 만들기

https://aimb.tistory.com/m/227

데이터 암호화

서버 인증과 사용자 인증이 완료되면 다시 비대칭키를 통해 서버와 클라이언트가 서로 대칭키를 교환 모든 데이터 통신은 이 대칭키(세션 키)로 암복호화가 이루어진다.
통신이 종료되면 세션 키는 만료되어 처분한다.

관련 명령어

 

ssh-keygen -t rsa

클라이언트에서 rsa 방식으로 비대칭키 생성하는 명령어임 ~/.ssh 경로에 가면 공개키와 비공개 키가 생성되어있다.

ssh-copy-id -i ~/.ssh/id_rsa.pub ubuntu@123.123.123.123

공개키를 서버의 authorized_keys에 자동적으로 저장시켜주는 명령어



출처 및 참고:
https://medium.com/@labcloud/ssh-%EC%95%94%ED%98%B8%ED%99%94-%EC%9B%90%EB%A6%AC-%EB%B0%8F-aws-ssh-%EC%A0%91%EC%86%8D-%EC%8B%A4%EC%8A%B5-33a08fa76596

SSH 암호화 원리 및 AWS SSH 접속 실습

https://myjamong.tistory.com/240

[CentOS] ssh password 입력 없이 로그인 하기, ssh-keygen 공개키 생성

https://originalchoi.tistory.com/m/entry/ssh-%ED%86%B5%EC%8B%A0%EC%9D%98-%EC%84%B8%EB%B6%80-%EC%9B%90%EB%A6%AC

ssh 통신의 세부 원리