ドキュメントの SSH の説明を修正
merge from 4-stable: r10382
@@ -911,12 +911,9 @@ | ||
911 | 911 | |
912 | 912 | <h3>Sequence Control</h3> |
913 | 913 | SSH protocol allows to encrypt client-server communication by using encryption key. Public-key based encryption (asymmetric) provides higher level of security, however it is more resource intensive and not used with SSH. SSH2 utilizes symmetric encryption algorithms with shared key - AES (Advanced Encryption Standard: Rijndael algorithm) and 3DES (Triple Data Encryption Standard). <br> |
914 | - | |
915 | -The key is securely shared between two parties establishing connection and is unknown to a third party. As per SSH2 protocol, when client opens TCP connection to a remote host (SSH server), unique DH key is generated based on "Diffie-Hellman" algorithm. This key is only known to the client and to the server. <br> | |
916 | -Prior to creation of DH key, network packets are transmitted unencrypted (as a clear text) and can be captured by a third party, however DH algorithm allows to establish a shared secret between two parties in such a way that it cannot be compromised. <br> | |
917 | - | |
918 | -Once shared key has been generated, it can be used to encrypt and decrypt the packets. SSH2 protocol assigns each packet the Message Number in the range 1 to 255. Message number describes the payload of the packet. RFC4250 contains the list of all supported message numbers. SSH messages also have names that start with "SSH2_MSG_". They are defined as macros in TTSSH source code. <br> | |
919 | - | |
914 | +The key is securely shared between two parties establishing connection and is unknown to a third party. As per SSH2 protocol, when client opens TCP connection to a remote host (SSH server), a shared key is shared based on "Diffie-Hellman" algorithm. This key is only known to the client and to the server. <br> | |
915 | +Prior to finish share of shared key, network packets are transmitted unencrypted (as a clear text) and can be captured by a third party, however DH algorithm allows to share a shared key between two parties in such a way that it cannot be compromised. <br> | |
916 | +Once shared key has been shared, it can be used to encrypt and decrypt the packets. SSH2 protocol assigns each packet the Message Number in the range 1 to 255. Message number describes the payload of the packet. RFC4250 contains the list of all supported message numbers. SSH messages also have names that start with "SSH2_MSG_". They are defined as macros in TTSSH source code. <br> | |
920 | 917 | The drawing below shows the packet flow for TCP connection from a client to a server on the default SSH port 22 with password based user authentication. <br> |
921 | 918 | |
922 | 919 |
@@ -23,7 +23,8 @@ | ||
23 | 23 | </p> |
24 | 24 | |
25 | 25 | <p> |
26 | - There are several ways of connection of SSH as follows | |
26 | + There are several ways of authentication methods of SSH as follows | |
27 | + </p> | |
27 | 28 | <ul> |
28 | 29 | <li>Password authentication</li> |
29 | 30 | <li>Public Key (and Private key pair) authentication |
@@ -33,8 +34,9 @@ | ||
33 | 34 | </li> |
34 | 35 | <li>rhosts authentication for SSH1</li> |
35 | 36 | <li>challenge/response(TIS) authentication for SSH1</li> |
36 | - <li>keyboard-interactive authentication for SSH2</li> | |
37 | + <li>keyboard-interactive authentication for SSH2</li> | |
37 | 38 | </ul> |
39 | + <p> | |
38 | 40 | In this document, we will describe Password authentication and Key-pair authentication which would be most widely used. |
39 | 41 | </p> |
40 | 42 |
@@ -41,21 +43,21 @@ | ||
41 | 43 | <h2 id="connproc">Procedure of connection</h2> |
42 | 44 | |
43 | 45 | <p> |
44 | - When Tera Term is activated, the following dialog will let you choose login procedure. | |
46 | + When Tera Term is activated, the following dialog will let you choose a way of connecting. | |
45 | 47 | </p> |
46 | 48 | <div class="img"><img src="../image/NewConnection.png" alt="connection dialog"></div> |
47 | 49 | <p> |
48 | - When using SSH, you should change SSH version in a default parameter. Make sure that it is synchronized to the host to be connected. | |
50 | + When using SSH, you should match SSH version to the host to be connected. | |
49 | 51 | </p> |
50 | 52 | |
51 | 53 | <p id="ssh_auth_dialog"> |
52 | 54 | Once connected, then you will be prompted to select authentication method in a dialog.<br /> |
53 | - You can change default value in <a href="../menu/setup-sshauth.html">"TTSSH: Authentication Setup" dialog</a> | |
55 | + You can change default value of this dialog in <a href="../menu/setup-sshauth.html">"TTSSH: Authentication Setup" dialog</a> | |
54 | 56 | </p> |
55 | 57 | <div class="img"><img src="../image/Authentication.png" alt="Authentication method"></div> |
56 | 58 | <p> |
57 | 59 | The TTSSH can support some authentication methods and a user should select one of methods. When an authentication method is failed, the TTSSH does not retry to authenticate another method.<br> |
58 | - For example, the OpenSSH client will be able to login to the server without regard to the difference the password and the keyboard-interactive authentication. However, the TTSSH can not login to the server with the keyboard-interactive and public key authentication by using the password authentication. | |
60 | + For example, the OpenSSH client will be able to login to the server without regard to the difference the password and the keyboard-interactive authentication. However, the TTSSH can not login to the server which only enabled keyboard-interactive and public key authentication by using the password authentication. | |
59 | 61 | </p> |
60 | 62 | <ul> |
61 | 63 | <li>If you want to use Password authentication, then make sure that [Use plain password to log in] is chcked and type in username and password. If they are correct, you can login.<br> |
@@ -890,9 +890,9 @@ | ||
890 | 890 | |
891 | 891 | |
892 | 892 | <h3>シーケンス制御</h3> |
893 | - SSH2接続を行うことで、通信経路を暗号化することができるのが特徴ですが、パケットの暗号化を行うためには、「鍵」が必要です。通信経路の暗号化には、共通鍵による共通鍵暗号が利用されます。公開鍵暗号のほうがセキュリティ強度は高いのですが、暗号処理に多大な時間がかかるため、SSHのような通信性能が要求されるしくみでは採用されません。SSH2では、共通鍵暗号アルゴリズムとして、AES(Advanced Encryption Standard:Rijndaelアルゴリズム)や3DES(Triple DES)などが利用されます。<br> | |
894 | - 共通鍵は通信を行う二者間でのみに共有される情報であり、第三者に知られてはなりません。SSH2では、クライアントがリモートホスト(SSHサーバ)へTCP接続した時に、"Diffie-Hellman"アルゴリズムをベースとした独自の方式により、クライアントとサーバでしか知り得ないDH(Diffie-Hellman)鍵を生成します。DH鍵生成までの過程は、ネットワーク上をパケットが平文で流れるため、第三者によるパケットキャプチャが可能となっていますが、パケットを覗かれても、DH鍵は理論上第三者には分からないようになっています。<br> | |
895 | - 共通鍵が生成できたあとは、その鍵を使ってパケットを暗号化します。SSH2では、送受信されるパケットは種類があるため、それぞれに「メッセージ番号」を割り振っています。RFC4250にメッセージ番号の一覧があります。メッセージ名は"SSH2_MSG_xxxx"というネーミングになっており、TTSSH内部でも同じ名前でマクロ定義しています。<br> | |
893 | + SSHは通信経路を暗号化することができるのが特徴ですが、パケットの暗号化を行うためには「鍵」が必要です。通信経路の暗号化には、共通鍵による共通鍵暗号が利用されます。公開鍵暗号のほうがセキュリティ強度は高いのですが、暗号処理に多大な時間がかかるため、SSHのような通信性能が要求されるしくみでは採用されません。SSH2では、共通鍵暗号アルゴリズムとして、AES(Advanced Encryption Standard:Rijndaelアルゴリズム)や3DES(Triple DES)などが利用されます。<br> | |
894 | + 共通鍵は通信を行う二者間でのみに共有される情報であり、第三者に知られてはなりません。SSH2では、クライアントがリモートホスト(SSHサーバ)へTCP接続した時に、"Diffie-Hellman"アルゴリズムをベースとした独自の方式により、クライアントとサーバでしか知り得ない共通鍵を共有します。DH鍵共有が完了するまでの過程は、ネットワーク上をパケットが平文で流れるため、第三者によるパケットキャプチャが可能となっていますが、パケットを覗かれても、共通鍵は理論上第三者には分からないようになっています。<br> | |
895 | + 共通鍵が共有できたあとは、その鍵を使ってパケットを暗号化します。SSH2では、送受信されるパケットは種類があるため、それぞれに「メッセージ番号」を割り振っています。RFC4250にメッセージ番号の一覧があります。メッセージ名は"SSH2_MSG_xxxx"というネーミングになっており、TTSSH内部でも同じ名前でマクロ定義しています。<br> | |
896 | 896 | 以下に、クライアントからサーバへTCP接続(ポート22番)してから、パスワード認証でユーザ認証されるまでの流れを示します。<br> |
897 | 897 | |
898 | 898 |
@@ -22,7 +22,8 @@ | ||
22 | 22 | </p> |
23 | 23 | |
24 | 24 | <p> |
25 | - また、SSH の接続方法には | |
25 | + また、SSH の認証方式には | |
26 | + </p> | |
26 | 27 | <ul> |
27 | 28 | <li>パスワード認証</li> |
28 | 29 | <li>公開鍵(と秘密鍵のペアによる)認証 |
@@ -32,8 +33,9 @@ | ||
32 | 33 | </li> |
33 | 34 | <li>SSH1 における rhosts 認証</li> |
34 | 35 | <li>SSH1 における challenge/response(TIS) 認証</li> |
35 | - <li>SHS2 における keyboard-interactive 認証</li> | |
36 | + <li>SHS2 における keyboard-interactive 認証</li> | |
36 | 37 | </ul> |
38 | + <p> | |
37 | 39 | があります。ここでは需要が多いと思われる認証方法について触れたいと思います。 |
38 | 40 | </p> |
39 | 41 |
@@ -40,26 +42,26 @@ | ||
40 | 42 | <h2 id="connproc">接続の手順</h2> |
41 | 43 | |
42 | 44 | <p> |
43 | - Tera Term を起動すると、下図のようなダイアログによりログイン方法を選ぶことができます。 | |
45 | + Tera Term を起動すると、下図のようなダイアログにより接続方法を選ぶことができます。 | |
44 | 46 | </p> |
45 | 47 | <div class="img"><img src="../image/NewConnection.png" alt="接続ダイアログ"></div> |
46 | 48 | <p> |
47 | - SSH で接続する場合、デフォルトから変更する箇所は「SSH version」です。接続先のサーバにあわせて選択してください。 | |
49 | + SSH で接続する場合、接続先のサーバにあわせて「SSH version」を選択してください。 | |
48 | 50 | </p> |
49 | 51 | |
50 | 52 | <p id="ssh_auth_dialog"> |
51 | 53 | 接続すると、今度は認証方法を選択するダイアログが現れます。<br /> |
52 | - デフォルト値を<a href="../menu/setup-sshauth.html">"TTSSH: Authentication Setup" ダイアログボックス</a>で設定することができます。 | |
54 | + このダイアログのデフォルト値は <a href="../menu/setup-sshauth.html">"TTSSH: Authentication Setup" ダイアログボックス</a>で設定することができます。 | |
53 | 55 | </p> |
54 | 56 | <div class="img"><img src="../image/Authentication.png" alt="認証方法"></div> |
55 | 57 | <p> |
56 | 58 | TTSSH は複数の認証方法をサポートしていますが、明示的に一つの認証方法を選択する必要があります。一つの認証方法に失敗した場合、続けて別の種類の認証を試みることはありません。<br> |
57 | - たとえば OpenSSH クライアントではパスワード認証と keyboard-interactive 認証の見た目がそう変わらないためサーバの認証方式を意識せずにログインできますが、TTSSH はそうではありません。keyboard-interactive 認証と公開鍵認証をサポートしているサーバにパスワード認証でログインしようとしても必ず失敗します。 | |
59 | + たとえば OpenSSH クライアントではパスワード認証と keyboard-interactive 認証の見た目がそう変わらないためサーバの認証方式を意識せずにログインできますが、TTSSH はそうではありません。keyboard-interactive 認証と公開鍵認証だけをサポートしているサーバにパスワード認証でログインしようとしても必ず失敗します。 | |
58 | 60 | </p> |
59 | 61 | <ul> |
60 | 62 | <li>パスワード認証を使用する場合は「Use plain password to log in」にチェックがついていることを確認し、ユーザ名とパスワードを入力します。これらが正しければ無事ログインできます。<br> |
61 | 63 | ※パスワード送信時の SSH パケットは暗号化されているので、TELNET のようにパスワードが平文で送信されることはありません。</li> |
62 | - <li>公開鍵認証を用いる場合は、上から2番目の「Use RSA/DSA/ECDSA/ED25519 key to log in」にチェックをつけ、「Private key file:」ボタンを押して秘密キーのファイルを指定します。その後ユーザ名と秘密キーのパスフレーズを入力してログインします。<br> | |
64 | + <li>公開鍵認証を用いる場合は、上から2番目の「Use RSA/DSA/ECDSA/ED25519 key to log in」にチェックをつけ、「Private key file:」ボタンを押して秘密鍵のファイルを指定します。その後ユーザ名と秘密鍵のパスフレーズを入力してログインします。<br> | |
63 | 65 | ※OpenSSH 形式のほか、TTSSH 2.63(Tera Term 4.76) 以降では PuTTY 形式・SECSH(ssh.com) 形式の SSH2 秘密鍵に対応しています。</li> |
64 | 66 | <li>keyboard-interactive認証を使用する場合は「Use keyboard-interactive to log in」にチェックをつけ、ユーザ名を入力します。<br> |
65 | 67 | サーバからのプロンプトと文字列を入力するダイアログが表示されるので、パスワードを入力します。</li> |