SSH 隧道或连接的安全性如何？

Question

我经常建议人们使用 SSH 隧道来保护他们在开放 WIFI 或其他不安全情况下的浏览。
最近，在我建议使用 SSH 隧道后，一位朋友问我 SSH 隧道的安全性如何。我绊了一下并重申了“它的安全性”。

尽管他对这个答案很满意，但还是让我有点无法完全回答。
所以问题出来给你们：

“SSH 隧道有多安全？”

Answer 1

我只想在此处引用维基百科的一些内容：

即使对称密码目前无法通过利用其算法中的结构弱点来破解，也有可能在所谓的蛮力攻击中遍历整个密钥空间。由于较长的对称密钥需要更多的工作来进行强力搜索，因此足够长的对称密钥使得这种攻击线不切实际。

对于长度为 n 位的密钥，有 2 ^{n 个}可能的密钥。随着 n 的增加，这个数字增长得非常快。摩尔定律表明，计算能力大约每 18 到 24 个月翻一番，但即使这种翻倍效应也使得目前认为可以接受的更大的对称密钥长度遥不可及。大量操作（2 ¹²⁸) 需要尝试所有可能的 128 位密钥被广泛认为在可预见的未来传统数字计算技术是遥不可及的。然而，预计替代形式的计算技术可能比经典计算机具有更优越的处理能力。如果能够可靠地运行格罗弗算法的合适大小的量子计算机变得可用，它将把 128 位的密钥减少到 64 位的安全性，大致相当于 DES。这是 AES 支持 256 位密钥长度的原因之一。有关更多信息，请参阅本页底部关于密钥长度与量子计算攻击之间关系的讨论。

所以一个 128 位的密钥会有 340,282,366,920,938,463,463,374,607,431,768,211,456 种可能的排列。想象一下经历所有这些。即使是功能强大的台式电脑，每秒也只能尝试几次。

因此，尽管理论上可以对 SSH 流进行强力解密，但当密钥被最强大的计算机解密时，可能会发生两件事：

1. 密钥会被 SSH 更改
2. 我们都会死，太阳爆炸并摧毁地球。

Answer 2

^{<免责声明：不是密码学专家>}

SSHv2 使用与 TLS/SSL 大致相同的算法：

• DH，最近使用ECDH或 RSA 进行密钥交换；
• RSA、DSA或ECDSA用于服务器身份验证（通常是客户端身份验证）。
• AES对称加密（整个数据流使用随机生成的密钥加密）。

所有这些都被广泛使用，并且在日常使用中被证明是安全的。

但是，在任何协议中，安全性取决于是否知道您正在与正确的服务器进行通信。在 SSH（标准配置）的情况下，第一次连接到服务器时，您必须验证其指纹。（不要像很多人一样在没有实际检查的情况下确认它。）下一次，服务器的密钥将根据缓存的副本进行检查，以防止中间人攻击——但前提是正确的密钥被缓存了首先。

（相比之下，TLS/SSL 使用由知名机构颁发的 X.509 证书来处理上述问题，这些机构被信任不会签署伪造证书。）