O uso do SFTP com o HMAC-RIPEMD160 pode substituir os hashes do arquivo de computação antes e depois da transferência?

0

Como parte do meu trabalho, muitas vezes me encontro transferindo muitos arquivos entre meu computador e um espaço de armazenamento remoto acessível por SFTP. Para garantir a transferência correta dos arquivos, eu computo seus hashes SHA256 antes de transferi-los, transfiro-os e, em seguida, verifico esses hashes no meu computador. No entanto, isso pode ser muito demorado, já que freqüentemente faço o download de vários gigabytes no meu computador a partir do armazenamento remoto.

Agora, tenho curiosidade em forçar o SCP a usar o HMAC-RIPEMD160 para garantir a integridade da mensagem ( -o MACs=hmac-ripemd160 ). É o HMAC mais strong suportado pelos meus servidores, e reconhecidamente é mais fraco que o SHA256, mas se eu confiar nos mecanismos do próprio SSH para garantir a integridade da mensagem, em princípio deve ser o suficiente para não gastar muito tempo calculando e verificando hashes de arquivo ao transferir coisas.

Então, para finalizar: posso substituir a computação e verificar hashes de arquivo com o uso de SCP com o HMAC-RIPEMD160?

    
por RAKK 30.01.2014 / 23:56

2 respostas

1

O SSH estabelece um canal seguro entre o cliente e o servidor. Isso significa que qualquer dano do arquivo (acidental ou malicioso) será detectado. Você não precisa fazer nada de especial! A única coisa que você precisa fazer é verificar se o valor de retorno do comando scp ou sftp é 0, indicando sucesso.

Se scp ou sftp indicar sucesso, o arquivo foi transferido com sucesso. Qualquer verificação que você possa fazer por uma computação hash seria redundante.

A opção MACs controla qual SSH MAC usa como parte de seu protocolo de canal seguro. É extremamente raro precisar alterar essa configuração: o cliente e o servidor negociarão um algoritmo que ambos suportam.

Para finalizar: você pode substituir a computação e verificar os hashes, verificando o status de retorno de scp ou sftp .

    
por 31.01.2014 / 03:01
0

Vamos ver o que diz a manpage:

 MACs    Specifies the MAC (message authentication code) algorithms in
         order of preference.  The MAC algorithm is used in protocol ver-
         sion 2 for data integrity protection.  Multiple algorithms must
         be comma-separated.  The default is:

               hmac-md5,hmac-sha1,[email protected],
               hmac-ripemd160,hmac-sha1-96,hmac-md5-96,
               hmac-sha2-256,hmac-sha2-512

Então, algo assim deve verificar se os dados não foram alterados quando copiados:

scp -2 -o MACs=hmac-ripemd160 [email protected]:some.file .

Em termos de força criptográfica, o ripemd160 é um dos poucos hashes criptográficos da década de 1990 que ainda é seguro. (Wikipedia incorretamente afirma que é vulnerável a um ataque com uma complexidade de 2 ^ 51, mas na verdade é apenas uma variante do enfraquecido ripemd160 que é vulnerável)

    
por 31.01.2014 / 01:58