Yleistä SSH:sta (2) [ < Etäkäyttö < Protokollan tot... ]

Secure Shell eli SSH on alunperin suomalainen ohjelmisto, joka kehitettiin korvaamaan Unixin turvattomat "remote"-ohjelmat rlogin, rsh ym. ja yhtä turvaton Internet-sovellusohjelma Telnet. SSH on ensimmäisen version jälkeen kehittynyt monipuolisemmaksi kuin pelkkien pääteyhteyksien toteuttajaksi. Sillä voidaan tunneloida muitakin protokollia (esim. FTP:tä tai HTTP:tä) ja käyttää esim. X-ikkunointia, jolla etäkoneellakin saadaan graafisten ohjelmien ikkuna näkyviin. SSH-tunneloinnilla voidaan saada aikaan kevytrakenteinen VPN sovellustasolle.

SSH autentikoi kohdekoneen julkisen avaimen tekniikalla. Se tarkoittaa, että käyttäjän (laitteen) on tunnettava kohdekoneen julkinen avain eli käytännössä ensimmäisellä yhteyskerralla luotettava kohteen tarjoamaan avaimeen -- mielellään tietysti muun kanavan kautta tehdyn sormenjälkien tarkistuksen jälkeen (ks. lopussa). Käyttäjä autentikoituu tämän jälkeen samalla tavalla kuin olisi tavallisessa pääteyhteydessä kohdekoneeseen, käytännössä siis salasanalla.

SSH:n ensimmäisiä tavoitteita oli salasanan välittämisen salaaminen -- kun se Telnet-protokollassa kuljetetaan selväkielisenä. Käyttäjä on kuitenkin voinut tallettaa oman julkisen avaimensa kohdekoneelle, jolloin käyttäjän autentikoituminen tapahtuu siten, että hänen laitteensa osoittaa tietävänsä vastaavan yksityisen avaimen. Käyttäjä tulee autentikoiduksi koska laite tarvitsee yksityisen avaimen soveltamiseen käyttäjän apua: Käyttäjä joutuu nimittäin nytkin syöttämään salasanan, tai SSH:n terminologiassa salalauseen, 'passphrase'. Sillä vain puretaan yksityisen avaimen salaus, eikä sitä välitetä minnekään. Parempi termi tällaiselle salasanalle olisi salaussana, tai salauslause.

Koska sama julkinen avain voi olla usean kohdekoneen tiedossa, sama salaussana käy niihin kaikkiin. Tässä siis ikäänkuin samaa salasanaa tullaan käyttäneeksi normaalia turvallisemmin useaan kohteeseen. Vaikka salaussanan joutuukin kirjoittamaan joka kerta, menettelyä voi silti pitää yksinkertaisena kertakirjautumisen muotona. "Kertakirjautumispalvelimena" on oman koneen SSH-ohjelma, johon voi kyllä liittää myös agentiksi kutsutun osan, jolloin salaussana tarvitaan vain kertaalleen.

TTY:n intranetissä on ohjeita proffa-klusterin SSH-käyttöön. Siellä mm. mainitaan että proffan julkisen SSH-avaimen sormenjälki on "xocag-sapel-kogoh-mydyg-desyr-cynud-gynak-hopeh-segut-mobug-suxyx" Tämä on SSH:n Bubble Babble -kieltä ( Antti Huima 2000 ), joka ei salaa mitään vaan esittää sormenjäljen eli avaimesta lasketun tiivistefunktion 128-bittisen arvon "luettavassa" muodossa.