针对SSH的与Logjam相关的攻击的一种建议的缓解策略是,使用类似以下的方法生成自定义的SSH Diffie-Hellman组:
ssh-keygen -G moduli-2048.candidates -b 2048
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
然后用输出文件替换系统范围的模数文件moduli-2048。(ssh-keygen -G用于生成候选DH-GEX素数,并ssh-keygen -T测试生成的候选安全性。)
显然,这在SSH服务器上是很合理的事情,否则将使用众所周知的组来很好地进行预计算,但是将自定义SSH DH组部署到仅客户端系统上是否有安全方面的好处?(也就是说,连接到SSH服务器,但从不充当SSH服务器的系统。)
我主要对与Linux上的OpenSSH有关的答案感兴趣,但是也希望您能获得更多通用的答案。
Answers:
如果确实需要,您可以,但我不会为OpenSSH重新生成2048位DH参数。要保护SSH安全,还需要做更多重要的事情,例如禁用弱加密。
我会做的是删除现有的这低于2048位。
awk '$5 >= 2000' /etc/ssh/moduli > /etc/ssh/moduli.strong && \
mv /etc/ssh/moduli.strong /etc/ssh/moduli
如果您没有注意到,OpenSSH会附带大量预生成的模数,一直到8192位。尽管我们今天确实担心1024位素数,但人们认为在可预见的将来2048位素数是安全的。虽然这种情况最终会改变,但可能会在下周出现,但是在我们成为养老金领取者之后,很可能会持续很长时间……
ssh-keygen手册页中也有这个奇怪的地方:
重要的是,此文件包含一定范围的位长度的模,并且连接的两端共享公共模。
这似乎反对替换现有模数,尽管它并没有真正提供这样做的实际原因。