Ticket #38004

「チャレンジレスポンス認証」表記の改善

Open Date: 2018-03-05 13:30 Last Update: 2018-06-01 12:50

Reporter:
Owner:
Type:
Status:
Closed
Component:
Priority:
5 - Medium
Severity:
5 - Medium
Resolution:
Fixed
Vote
Score: 0
No votes
0.0% (0/0)
0.0% (0/0)

Details

SSH認証ダイアログでの keyboard-interactive 認証の部分が、

  • 英語: Use challenge/response to log in (keyboard-interactive)
  • 日本語: チャレンジレスポンス認証を使う (キーボードインタラクティブ)

となっている。

この「チャレンジレスポンス認証」という表現が TTSSH にてチャンレンジ・レスポンス方式の認証の為の処理を行っているという誤解を招きかねない。

c.f. https://twitter.com/anew_lu/status/970170235562045441

実際の keyboard-interactive 認証では単なるパスワード認証の変種として使われる事が多いので、他の表現への変更を行いたい。

Attachment File List

No attachments

Ticket History (3/8 Histories)

2018-03-05 13:30 Updated by: doda
  • New Ticket "「チャレンジレスポンス認証」表記の改善" created
2018-03-05 17:32 Updated by: maya
  • Details Updated
Comment

challenge/response は SSH1 の用語で、keyboard-interactive は SSH2 の用語でしょうか。

印象はともかくこれが正式な表記のように思います。

man sshd_config にも下記のようにあり、すでに SSH で広く使われている用語なので、独自の名称で呼ぶことで「サーバでいうところの challenge-response のことです」「他のクライアントでいうところの challenge-response のことです」のような名称の対応関係が発生し、説明が複雑になったりユーザが混乱することはないでしょうか。

ChallengeResponseAuthentication
	     Specifies whether to use challenge-response authentication.  The
	     argument to this keyword must be ``yes'' or ``no''.  The default
	     is	``yes''.
2018-03-05 21:45 Updated by: doda
Comment

maya への返信

challenge/response は SSH1 の用語で、keyboard-interactive は SSH2 の用語でしょうか。

  • SSH1: TIS Authentication
  • SSH2: Generic Message Exchange Authentication

です。

keyboard-interactive は SSH_MSG_USERAUTH_REQUEST での method 名なので SSH2 での別名的に使われてますね。

challenge/response は、TIS Authentication がチャレンジ-レスポンス方式なのでそこから TTSSH が呼んだ物だと思います。

man sshd_config にも下記のようにあり、すでに SSH で広く使われている用語なので、独自の名称で呼ぶことで「サーバでいうところの challenge-response のことです」「他のクライアントでいうところの challenge-response のことです」のような名称の対応関係が発生し、説明が複雑になったりユーザが混乱することはないでしょうか。

オリジナルの ssh や SSH Communications 時代の ssh には Challenge-Response という表現は使っていない(前述のTIS Authentication, SSH2 に後から keyboard-interactive 認証が追加)ですし、 PuTTY 等の他のクライアントでも Challenge Response ではなく keyboard-interactive を使っているのが殆どで、Challenge Response はほぼ OpenSSH だけなんですよね。

また OpenSSH でも ChallengeResponseAuthentication の他に KbdInteractiveAuthenticaion という設定があり、

ssh server \
  -o ChallengeResponseAuthentication=no \
  -o PasswordAuthentication=no \
  -o PubkeyAuthentication=no \
  -o KbdInteractiveAuthentication=yes
とした場合も keyboard-interactive 認証が使われます

また、PreferredAuthentications で指定するのも keyboard-interactive ですし、一般的にも ChallengeReponse 認証よりは keyboard-interactive 認証として呼ばれていると思います

2018-03-05 23:48 Updated by: maya
Comment

doda への返信

普段使っているユーザの私の感覚としては

  • SSH2 で接続しているのは明らか
  • SSH2 接続なら keyboard-interactive であるのは UI の表記から明らか

なので誤解のしようがないのですが、キーボードインタラクティブ=チャレンジレスポンス と読めるのがまずいということですね。

TTSSH の歴史として、SSH1 で challenge/response(TIS) だったものに、SSH2 の場合の keyboard-interactive も同じ challenge/response というくくりで扱うようにしたことから起きています。

この ticket は、UI 上の表記を修正すれば済む話ですか?それとも SSH1 と SSH2 でユーザから見た認証方式を分離する提案ということですか?

英語
; dlg auth
DLG_AUTH_METHOD_CHALLENGE1=Use challenge/response to log in(&TIS)
DLG_AUTH_METHOD_CHALLENGE2=Use &challenge/response to log in(keyboard-interactive)
; dlg auth setup
DLG_AUTHSETUP_METHOD_CHALLENGE=Use challenge/response to log in (SSH1:&TIS, SSH2:keyboard-interactive)

日本語
; dlg auth
DLG_AUTH_METHOD_CHALLENGE1=チャレンジレスポンス認証を使う(&TIS)
DLG_AUTH_METHOD_CHALLENGE2=チャレンジレスポンス認証を使う(キーボードインタラクティブ)(&C)
; dlg auth setup
DLG_AUTHSETUP_METHOD_CHALLENGE=チャレンジレスポンス認証を使う(SSH1:TIS, SSH2:キーボードインタラクティブ)(&T)
2018-03-06 09:22 Updated by: doda
Comment

UI 上の表記の修正でいいと思います。

あと今気が付いたのですが、/auth= コマンドラインオプションでも keyboard-interactive が欲しいですね。(challenge と同じ動作)

2018-03-06 12:19 Updated by: maya
Comment
; dlg auth
DLG_AUTH_METHOD_CHALLENGE1=Use challenge/response(&TIS) to log in
DLG_AUTH_METHOD_CHALLENGE2=Use keyboard-&interactive to log in
; dlg auth setup
DLG_AUTHSETUP_METHOD_CHALLENGE=Use SSH1:challenge/response(&TIS) / SSH2:keyboard-interactive to log in

こんな感じでしょうか。

コマンドラインの challenge は互換性のために残さざるを得ませんね。keyboard-interactive はエイリアス(SSH2に限定しない)ということでよいと思います。

あとは、影響箇所が多そうですがドキュメントの修正をすれば大丈夫ですね。

2018-04-10 03:17 Updated by: doda
  • Owner Update from (None) to doda
  • Resolution Update from None to Accepted
  • Milestone Update from (None) to Tera Term 4.99 (closed)
2018-06-01 12:50 Updated by: doda
  • Status Update from Open to Closed
  • Resolution Update from Accepted to Fixed

Edit

You are not logged in. I you are not logged in, your comment will be treated as an anonymous post. » Login