Erforderliche Informationen f�r die Authentifizierung mit �ffentlichem Schl�ssel

Lernprogramm zum Konfigurieren des SSH-Clients

Thema - Erforderliche Informationen f�r die Authentifizierung mit �ffentlichem Schl�ssel

F�r die Authentifizierung mit �ffentlichem Schl�ssel f�r den SSH-Client ist eine Benutzer-ID und ein Schl�sselpaar mit �ffentlichem und privatem Schl�ssel erforderlich.

Die Benutzer-ID muss mit einer g�ltigen Benutzer-ID auf dem Host �bereinstimmen, auf dem sich der SSH-Server befindet.

Bei dem Schl�sselpaar mit �ffentlichem und privatem Schl�ssel handelt es sich um ein Schl�sselpaar aus symmetrischen Verschl�sselungsschl�sseln. "Symmetrisch" bedeutet, dass eine Nachricht, die mit dem �ffentlichen Schl�ssel verschl�sselt wurde, mit dem privaten Schl�ssel entschl�sselt werden kann und umgekehrt.

Der �ffentliche Schl�ssel liegt im Klartext (d. h. unverschl�sselt) vor.
Der private Schl�ssel ist verschl�sselt und durch ein Kennwort gesch�tzt.

Die nachfolgende Darstellung zeigt, wie der �ffentliche Schl�ssel und der private Schl�ssel zum Konfigurieren des SSH-Servers und des SSH-Clients verwendet werden. Diese Abbildung veranschaulicht den allgemeinen Prozess auf einem beliebigen System (nicht den spezifischen Prozess f�r Host On-Demand).

Der Systemadministrator generiert ein Schl�sselpaar mit �ffentlichem und privatem Schl�ssel (siehe 1).
Der SSH-Server wird mit dem �ffentlichen Schl�ssel konfiguriert (siehe2).
Der SSH-Client ist sowohl mit dem �ffentlichen Schl�ssel als auch mit dem privaten Schl�ssel konfiguriert (siehe 3).

Schl�sselpaar mit �ffentlichem und privatem Schl�ssel

Keine Verwendung f�r die Verschl�sselung des Nachrichtenverkehrs nach Start der SSH-Sitzung

Im SSH-Protokoll wird das f�r die Clientauthentifizierung verwendete Schl�sselpaar aus �ffentlichem und privatem Schl�ssel nicht ebenfalls f�r die Verschl�sselung von Daten verwendet, nachdem die SSH-Sitzung gestartet wurde. Der SSH-Server generiert stattdessen separat Schl�ssel f�r die Datenverschl�sselung.

Clientauthentifizierung beim Start einer Sitzung

Wenn der Benutzer eine Sitzung mit SSH startet, findet die Clientauthentifizierung wie folgt statt:

Der SSH-Client benachrichtigt den Host dar�ber, dass die Authentifizierung mit �ffentlichen Schl�sseln verwendet werden soll, und sendet Folgendes an den SSH-Server:
- Den �ffentlichen Schl�ssel.
- Eine Signatur. (Eine Signatur ist ein Wert, der sowohl dem SSH-Server als auch dem SSH-Client bekannt ist und den der SSH-Client mithilfe des privaten Schl�ssels verschl�sselt hat.)
Der SSH-Server �berpr�ft seine Konfiguration und stellt fest, dass er mit einem �ffentlichen Schl�ssel konfiguriert wurde, der mit dem soeben empfangenen Schl�ssel �bereinstimmt.
Der SSH-Server pr�ft die Signatur mithilfe des �ffentlichen Schl�ssels. (Beispielsweise k�nnte der SSH-Server den bekannten Wert verschl�sseln und ihn mit dem soeben vom SSH-Client empfangenen verschl�sselten Wert vergleichen oder aber den soeben vom SSH-Client empfangenen verschl�sselten Wert entschl�sseln und ihn mit dem bekannten Wert vergleichen.)