Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste :
reseau:debian:sequencesessionssh

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseau:debian:sequencesessionssh [2023/05/21 17:12] techer.charles_educ-valadon-limoges.frreseau:debian:sequencesessionssh [2025/06/10 21:12] (Version actuelle) admin
Ligne 1: Ligne 1:
 ====== Diagramme de séquence de l'établissement d'une session SSH ====== ====== Diagramme de séquence de l'établissement d'une session SSH ======
 +{{ :reseau:debian:diagramme_sequence_ssh.png |}}
 <uml> <uml>
 @startuml @startuml
Ligne 7: Ligne 8:
 ClientSSH  -> Serveur   : confirme avec paquet ACK ClientSSH  -> Serveur   : confirme avec paquet ACK
 end end
-group Negociation des algorithmes de chghffrement +group Etablissement de la session  
-ClientSSH -> ClientSSH  : annonce la version de SSH utilisée+ClientSSH -> Serveur    : annonce la version de SSH utilisée
 Serveur   -> ClientSSH  : annonce la version de SSH utilisée Serveur   -> ClientSSH  : annonce la version de SSH utilisée
-ClientSSH -> Serveur    : Key Exchange Init (liste des algorithmes supportés+Serveur  -> ClientSSH : envoie sa clé publique  
-Serveur   -> ClientSSH Key Exchange Init (liste des algorithmes supportés)+ClientSSH -> ClientSSH : génèrent paires de clés\nprivées - publique\ntemporaires 
 +Serveur   -> Serveur : génèrent paires de clés\nprivées - publique\ntemporaires 
 +ClientSSH <-> Serveur    : algorithme d’échange \nde clés Diffie-Hellman\npour déterminer\nclé partagée\n(symétrique
 +note left : clé de session symétique  
 +note right : clé de session symétique  
 +ClientSSH -> ClientSSH  Vérification de l'identité du serveur\nAcceptation de l'identité du serveur 
 +end 
 +group Etablissement d'un canal sécurisé 
 +end 
 +group Authentification par mot de passe  
 +Serveur -> ClientSSH demande saisie login 
 +ClientSSH -> Serveur : envoi login 
 +Serveur -> ClientSSH : demande saisie mot de passe 
 +ClientSSH -> Serveur : envoi mot de passe 
 +Serveur -> Serveur : vérification login et mot de passe 
 +Serveur -> ClientSSH : affichage du prompt 
 +end
  
-Serveur -> ClientSSH  certificat +group Authentification par clé SSH  
-ClientSSH -> ClientSSH   vérification certificat & empreinte+ClientSSH -> Serveur : fait enregistrer sa clé publique\ndans authorized_keys 
 +Serveur -> ClientSSH : demande saisie login 
 +ClientSSH -> Serveur : envoi login 
 +Serveur -> Serveur : envoie un défi (challenge) 
 +ClientSSH -> ClientSSH : signe le défi|navec sa clé privée 
 +ClientSSH -> Serveur : envoi réponse au challenge 
 +Serveur -> Serveur : vérifie la signature avec la clé publique\nenregistrée dans authorized_keys  
 +Serveur -> ClientSSH : affichage du prompt
 end end
-group Partage clé secrète + 
-ClientSSH -> Serveur : liste d'algorithmes de chiffrement + 
-Serveur -> ClientSSH : liste d'algorithmes de chiffrement +group Communication chifrée entre le client et le serveur durant toute la session 
-ClientSSH -> ClientSSH choix algorithme + 
-Serveur -> Serveur : choix algorithme +end 
-ClientSSH -> ClientSSH : génèrent des paires de clés \n publiques-privées temporaires +group Deconnexion 
-ClientSSH -> ClientSSH : génére cle de session+ClientSSH -> Serveur   déconnexion avec paquet RST,ACK (Reset) 
 +Serveur -> ClientSSH   approuve déconnexion avec paquet ACK
 end end
 @enduml @enduml
 </uml> </uml>
 +===== Compléments =====
 +  * [[bloc3s1:tcp|Les connexions TCP]]
 +  * l'algorithme **chacha20_poly1305** ([[https://www.rfc-editor.org/info/rfc7539|RFC 7539]]) 
 +
 +L'agorithme de chiffrement symétrique **ChaCha20** est utilisé à la place de **AES 256**.
 +  * **ChaCha20** : algorithme de chiffrement symétrique plus rapide qu'AES sur un matériel générique (mise en œuvre purement en logiciel)
 +  * **Poly1305** : c’est un **MAC** (message authentication code) qui permet d’assurer l'**intégrité des données** en vérifiant qu'elles n'ont subi aucune modification après une transmission. C'est une fonctionnalité semblable à une fonction de hachage.
 +
 +La combinaison de ces deux algortihmes permet de faire du chiffrement intègre.
 +
 +===== Ressources =====
 +  * https://fr.wikipedia.org/wiki/%C3%89change_de_cl%C3%A9s_Diffie-Hellman
 +  * https://www.adikts.io/mieux-comprendre-ssh-et-lauthentification-par-cles/
 +  * https://www.bortzmeyer.org/7539.html
 +  * https://fr.wikipedia.org/wiki/Code_d%27authentification_de_message
 +  * https://serverfault.com/questions/586638/understand-wireshark-capture-for-ssh-key-exchange
 +  * https://serveur.ipgirl.com/comprendre-la-capture-wireshark-pour-lchange-de-keys-ssh.html
 +
 +
 +
reseau/debian/sequencesessionssh.1684681931.txt.gz · Dernière modification : 2023/05/21 17:12 de techer.charles_educ-valadon-limoges.fr