Я читал SSH, когда наткнулся на следующие предложения в первом абзаце статьи.
via a secure channel over an insecure network
1) В каком контексте упоминается канал и сеть?
2) Как можно защитить канал, но сеть не защищена, и наоборот, я был бы признателен за примеры
Канал является зашифрованным туннелем через любые сети, к которым подключен ваш компьютер.
Например, скажем, вы берете свой ноутбук в кафе с общедоступным Wi-Fi. Любой может видеть весь трафик, отправляемый и получаемый с вашего компьютера. Итак, вы создаете SSH-туннель на свой сервер дома (или где-либо еще) и отправляете туда свой сетевой трафик. Следовательно, любые потенциальные перехватчики будут видеть только зашифрованные пакеты.
Поэтому ваше общение остается безопасным.
Противоположной ситуацией может быть частная сеть, которая не подключена к какому-либо ненадежному компьютеру, например домашняя локальная сеть. В этом случае вы контролируете все аппаратное обеспечение, и поэтому безопасно общаться в открытом виде. (По крайней мере, если вы не подключены к Интернету.)
1) Канал - это безопасный канал связи, который вы получаете, когда устанавливаете SSH-туннель между доверенными компьютерами. Сеть - это физическая сеть машин (компьютеров, маршрутизаторов, коммутаторов), передающих данные. Данные разбиваются на пакеты, которые отправляются по сети к машине назначения. Вы можете представить канал как виртуальный канал, защищенный шифрованием. Все, что проходит через этот виртуальный канал, транспортируется в виде зашифрованных пакетов с использованием базовой сети.
2) В большинстве случаев вы не можете доверять сети, потому что у вас нет полного контроля над всеми машинами. Если кто-то контролирует машину, передающую (пересылающую) ваши пакеты, он может читать или изменять их. Для защиты от таких атак вы используете шифрование, например, SSH. Шифрование означает изменение открытого текста таким образом, что вы можете получить его обратно, только если у вас есть ключ. Чтобы получить безопасный канал через незащищенную сеть, вам нужно сделать 2 вещи:
Для достижения этих целей SSH использует криптографию с открытым ключом на обоих концах. Чтобы убедиться, что вы разговариваете с нужным устройством (1.), вы должны проверить отпечаток пальца. После этого оба конца согласовывают общий секретный ключ, используемый для шифрования данных. Для этого обычно используется Диффи-Хеллман .
Поскольку вы убедились, что разговариваете с правильным партнером по общению, и вы надежно обменяли общий секретный ключ для симметричного шифрования данных, никто больше не сможет изменить или прочитать ваше общение. У вас есть безопасный канал через небезопасную сеть.
Возможно ли иметь защищенный канал и незащищенную сеть одновременно?
Вы можете иметь "защищенный канал" по небезопасному каналу или сети с использованием шифрования. Шифрование можно рассматривать как дополнительный "слой поверх" сети или другого носителя.
Если Алиса и Боб хотят общаться друг с другом через сеть, в которой каждый может слушать, это легко, если у Алисы есть криптографические ключи Боба, а у Боба есть криптографические ключи Алисы, прежде чем они начнут говорить.
Алиса и Боб НИКОГДА не должны передавать свои ключи по сети в открытом виде, чтобы обеспечить их безопасность.
Теперь, если они раньше не общались за пределами сети, есть способы безопасного обмена ключами, такие как Диффи-Хеллман, который использует TLS/SSL/SSH.