درک جفت کلید SSH: راهنمای توسعه دهنده

Summarize this content to 400 words in Persian Lang
در دنیای توسعه به هم پیوسته امروزی، احراز هویت امن فقط یک امر تجملی نیست، بلکه یک ضرورت است. چه یک مهندس باتجربه DevOps باشید یا یک توسعه‌دهنده جوان که تازه سفر خود را شروع کرده‌اید، درک جفت‌های کلید SSH برای گردش کار روزانه شما بسیار مهم است. آنها قهرمانان گمنامی هستند که فشارهای git ما را ایمن نگه می‌دارند، دسترسی سرور ما را محافظت می‌کنند، و استقرار ما را از چشمان کنجکاو ایمن نگه می‌دارند.

اما بیایید صادق باشیم: کلیدهای SSH ممکن است گیج کننده باشند. با عباراتی مانند «زیرساخت کلید عمومی»، «الگوریتم‌های رمزنگاری» و «اثر انگشت کلیدی» که در اطراف شناور هستند، به راحتی می‌توان احساس غرق شدن کرد. هدف این راهنما ابهام‌زدایی از جفت‌های کلید SSH، تجزیه مفاهیم پیچیده به قطعات قابل هضم است که به شما در تصمیم‌گیری آگاهانه در مورد تنظیمات امنیتی خود کمک می‌کند.

جفت کلید SSH چیست؟

جفت کلید SSH اعتبار رمزنگاری است که از دو بخش تشکیل شده است:

یک کلید خصوصی که در دستگاه محلی شما باقی می ماند (این راز نگه دارید!)
یک کلید عمومی که می توانید آزادانه آن را به اشتراک بگذارید

آنها را به عنوان یک سیستم قفل و کلید پیچیده در نظر بگیرید. کلید عمومی مانند قفل خاصی است که می توانید به هر کسی بدهید، در حالی که کلید خصوصی کلید منحصر به فردی است که فقط قفل های شما را باز می کند. هنگامی که به یک سیستم راه دور متصل می شوید، بررسی می کند که آیا کلید خصوصی شما با کلید عمومی که ذخیره کرده مطابقت دارد یا خیر – اگر مطابقت داشته باشند، به شما اجازه دسترسی داده می شود. این امر نیاز به احراز هویت مبتنی بر رمز عبور را که می تواند در برابر حملات brute force و keylogger ها آسیب پذیر باشد، از بین می برد.

چیزی که جفت‌های کلید SSH را به‌ویژه قدرتمند می‌کند، توانایی آنها در ارائه احراز هویت امن بدون انتقال اطلاعات حساس از طریق شبکه است. کلید خصوصی شما هرگز از دستگاه شما خارج نمی‌شود، و این باعث می‌شود مهاجمان نتوانند اعتبار شما را در طول فرآیند احراز هویت رهگیری کنند.

انواع جفت کلید SSH و مبانی ریاضی آنها

الگوریتم های رمزنگاری پشت کلیدهای SSH برخی از ظریف ترین کاربردهای نظریه اعداد و هندسه جبری را در محاسبات مدرن نشان می دهند. بیایید عمیقاً در مبانی ریاضی آنها کاوش کنیم و درک کنیم که آنها چگونه امنیتی را که ما روزانه به آن تکیه می کنیم را فراهم می کنند.

RSA: The Prime Numbers Guardian

درخشش RSA در استفاده زیبا از اعداد اول و محاسبات مدولار نهفته است. بیایید از طریق یک مثال ساده اما گویا از نحوه عملکرد RSA در عمل استفاده کنیم.

فرض کنید می خواهیم یک کلید RSA کوچک (ناامن، اما آموزشی) ایجاد کنیم:

ابتدا دو عدد اول را انتخاب کنید:p = 61 و q = 53
n را محاسبه کنید (مدول):n = p × q = 61 × 53 = 3233
مجموع φ(n) را محاسبه کنید:φ(n) = (p-1) × (q-1) = 60 × 52 = 3120
یک توان عمومی e (معمولاً 65537) را انتخاب کنید: بیایید از e = 17 برای این مثال استفاده کنیم (باید همزمان با φ(n) باشد)
ضریب خصوصی d را محاسبه کنید:d = e-1 mod φ(n) = 2753

این به ما می دهد:

کلید عمومی: (n=3233، e=17)
کلید خصوصی: (n=3233، d=2753)

در اینجا نحوه کار رمزگذاری با این اعداد آمده است:

Message (m) = 123
Encryption: c = m^e mod n
c = 123^17 mod 3,233 = 855

Decryption: m = c^d mod n
m = 855^2,753 mod 3,233 = 123

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

در پیاده سازی واقعی RSA، ما از اعدادی استفاده می کنیم که معمولاً 2048 یا 4096 بیت هستند. برای درک این موضوع، یک عدد 4096 بیتی تقریباً 1234 رقم اعشاری طول دارد. امنیت از این واقعیت ناشی می شود که فاکتورگیری چنین اعداد بزرگی از نظر محاسباتی با فناوری فعلی غیرممکن است.

در اینجا نحوه ایجاد چنین کلیدی در عمل آمده است:

# Create a 4096-bit RSA key with custom settings
ssh-keygen -t rsa -b 4096 \
-C “RSA-4096_$(date +%Y%m%d)” \
-f ~/.ssh/id_rsa_4096 \
-N “your_secure_passphrase”

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

Ed25519: Elliptic Curve Elegance

Ed25519 بر روی یک منحنی تخصصی ادواردز کار می کند که با معادله تعریف شده است:-x² + y² = 1 – (121665/121666)x²y²

این منحنی برای چندین ویژگی ریاضی که هم ایمن و هم کارآمد است، با دقت انتخاب شد. بیایید نحوه عملکرد ضرب نقطه در این منحنی را بشکنیم:

نقطه پایه B مختصاتی دارد:

x = 15112221349535400772501151409588531511454012693041857206046113283949847762202
y = 46316835694926478169428394003475163141307993866256225615783033603165251855960

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

یک کلید خصوصی یک k اسکالر 256 بیتی است
کلید عمومی نقطه k·B است (ضرب اسکالر)

در اینجا یک مثال ساده از جمع نقطه در منحنی آمده است:

Given two points P1(x₁,y₁) and P2(x₂,y₂):

x₃ = (x₁y₂ + y₁x₂)/(1 + dx₁x₂y₁y₂)
y₃ = (y₁y₂ – ax₁x₂)/(1 – dx₁x₂y₁y₂)

where d = -121665/121666

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

پیاده‌سازی واقعی Ed25519 از مدول حسابی میدانی اول 2255 – 19 استفاده می‌کند که برای محاسبات کارآمد در پردازنده‌های 64 بیتی مدرن انتخاب شده است. هنگامی که یک کلید Ed25519 تولید می کنید:

# Generate Ed25519 key with maximum entropy
ssh-keygen -t ed25519 \
-C “Ed25519_$(hostname)_$(date +%Y%m%d)” \
-f ~/.ssh/id_ed25519 \
-N “$(head -c 32 /dev/urandom | base64)”

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

قدرت واقعی Ed25519 ناشی از مقاومت آن در برابر حملات مختلف پیاده سازی است:

Signing equation:
R = rB
S = (r + H(R,A,M)a) mod l

where:
r = H(h_b,…,h_2b-1,M)
H = SHA-512
a = private key
A = public key
M = message
l = 2²⁵² + 27742317777372353535851937790883648493

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

ECDSA: منحنی های NIST

ECDSA از منحنی‌های P NIST استفاده می‌کند که روی فیلدهای اول تعریف شده‌اند. منحنی P-256 به صورت زیر تعریف می شود:y² = x³ – 3x + b

جایی که b = 0x5AC635D8AA3A93E7B3EBBD55769886BC651D06B0CC53B0F63BCE3C3E27D2604B

بیایید یک ضرب نقطه ای در این منحنی را بررسی کنیم:

با نقطه پایه G شروع کنید:

Gx = 0x6B17D1F2E12C4247F8BCE6E563A440F277037D812DEB33A0F4A13945D898C296
Gy = 0x4FE342E2FE1A7F9B8EE7EB4A7C0F9E162BCE33576B315ECECBB6406837BF51F5

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

برای یک کلید خصوصی k، کلید عمومی Q = kG از طریق دو برابر کردن و جمع کردن مکرر نقطه محاسبه می شود:

Point Addition (P + Q):
s = (y₂ – y₁)/(x₂ – x₁) mod p
x₃ = s² – x₁ – x₂ mod p
y₃ = s(x₁ – x₃) – y₁ mod p

Point Doubling (P + P):
s = (3x₁² + a)/(2y₁) mod p
x₃ = s² – 2x₁ mod p
y₃ = s(x₁ – x₃) – y₁ mod p

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

با استفاده از منحنی P-521 یک کلید ECDSA ایجاد کنید:

# Generate ECDSA key with P-521 curve
ssh-keygen -t ecdsa -b 521 \
-C “ECDSA_P521_$(date +%Y%m%d)” \
-f ~/.ssh/id_ecdsa_521 \
-N “$(openssl rand -base64 32)”

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

ملاحظات امنیتی گسترده

امنیت این الگوریتم‌ها به مسائل مختلف ریاضی بستگی دارد:

RSA: مشکل فاکتورسازی عدد صحیح (IFP)

Given n = pq, find p and q
Time complexity: O(exp((log n)^(1/3) * (log log n)^(2/3)))

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

Ed25519: مسئله لگاریتم گسسته منحنی بیضی (ECDLP)

Given P and Q = kP, find k
Time complexity: O(√n) using Pollard’s rho algorithm

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

ECDSA: همانند Ed25519، اما با پارامترهای منحنی متفاوت

Security level comparison:
RSA 3072-bit ≈ ECDSA/Ed25519 256-bit
RSA 15360-bit ≈ ECDSA/Ed25519 512-bit

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

تاثیر محاسبات کوانتومی

ظهور کامپیوترهای کوانتومی تهدیدات مختلفی را برای این الگوریتم ها ایجاد می کند. با استفاده از الگوریتم شور:

RSA factoring time complexity:
Classical: O(exp((log N)^(1/3) * (log log N)^(2/3)))
Quantum: O((log N)^3)

ECDLP solving time complexity:
Classical: O(√n)
Quantum: O((log n)^3)

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

به همین دلیل است که رمزنگاری پس کوانتومی اهمیت فزاینده ای پیدا می کند، اگرچه هنوز در کلیدهای استاندارد SSH پیاده سازی نشده است.

انتخاب آگاهانه

انتخاب بین این الگوریتم‌ها فراتر از ریاضیات است – در مورد تعادل امنیت، سازگاری و عملکرد است. Ed25519 نمایانگر آینده است: از نظر ریاضی ظریف، از نظر محاسباتی کارآمد، و با در نظر گرفتن تهدیدهای مدرن طراحی شده است. پیاده‌سازی آن ویژگی‌های امنیتی ثابتی را در پلتفرم‌های مختلف فراهم می‌کند و آن را به گزینه‌ای ایده‌آل برای استقرار جدید تبدیل می‌کند.

برای سیستم هایی که به سازگاری گسترده نیاز دارند، RSA با 4096 بیت یک انتخاب ثابت باقی می ماند. شالوده ریاضی آن چندین دهه در برابر تحلیل رمزپایه مقاومت کرده است، و اگرچه ممکن است از نظر محاسباتی فشرده‌تر از رویکردهای منحنی بیضوی مدرن باشد، حاشیه‌های امنیتی آن به خوبی درک شده است.

هنگام اجرای هر یک از این الگوریتم‌ها، نکته کلیدی اطمینان از آنتروپی مناسب در طول تولید کلید است. یک مولد اعداد تصادفی قوی برای امنیت بسیار مهم است، زیرا حتی امن‌ترین الگوریتم‌های ریاضی را می‌توان به دلیل تصادفی ضعیف به خطر انداخت. سیستم‌های مدرن از مولدهای اعداد تصادفی سخت‌افزاری و استخرهای آنتروپی برای اطمینان از تولید کلید قوی استفاده می‌کنند، اما ارزش آگاهی از این پایه مهم را دارد.

Message (m) = 123
Encryption: c = m^e mod n
c = 123^17 mod 3,233 = 855

Decryption: m = c^d mod n
m = 855^2,753 mod 3,233 = 123

# Create a 4096-bit RSA key with custom settings
ssh-keygen -t rsa -b 4096 \
  -C "RSA-4096_$(date +%Y%m%d)" \
  -f ~/.ssh/id_rsa_4096 \
  -N "your_secure_passphrase"

x = 15112221349535400772501151409588531511454012693041857206046113283949847762202
y = 46316835694926478169428394003475163141307993866256225615783033603165251855960

Given two points P1(x₁,y₁) and P2(x₂,y₂):

x₃ = (x₁y₂ + y₁x₂)/(1 + dx₁x₂y₁y₂)
y₃ = (y₁y₂ - ax₁x₂)/(1 - dx₁x₂y₁y₂)

where d = -121665/121666

# Generate Ed25519 key with maximum entropy
ssh-keygen -t ed25519 \
  -C "Ed25519_$(hostname)_$(date +%Y%m%d)" \
  -f ~/.ssh/id_ed25519 \
  -N "$(head -c 32 /dev/urandom | base64)"

Signing equation:
R = rB
S = (r + H(R,A,M)a) mod l

where:
r = H(h_b,...,h_2b-1,M)
H = SHA-512
a = private key
A = public key
M = message
l = 2²⁵² + 27742317777372353535851937790883648493

Gx = 0x6B17D1F2E12C4247F8BCE6E563A440F277037D812DEB33A0F4A13945D898C296
Gy = 0x4FE342E2FE1A7F9B8EE7EB4A7C0F9E162BCE33576B315ECECBB6406837BF51F5

Point Addition (P + Q):
s = (y₂ - y₁)/(x₂ - x₁) mod p
x₃ = s² - x₁ - x₂ mod p
y₃ = s(x₁ - x₃) - y₁ mod p

Point Doubling (P + P):
s = (3x₁² + a)/(2y₁) mod p
x₃ = s² - 2x₁ mod p
y₃ = s(x₁ - x₃) - y₁ mod p

# Generate ECDSA key with P-521 curve
ssh-keygen -t ecdsa -b 521 \
  -C "ECDSA_P521_$(date +%Y%m%d)" \
  -f ~/.ssh/id_ecdsa_521 \
  -N "$(openssl rand -base64 32)"

Given n = pq, find p and q
Time complexity: O(exp((log n)^(1/3) * (log log n)^(2/3)))

Given P and Q = kP, find k
Time complexity: O(√n) using Pollard's rho algorithm

Security level comparison:
RSA 3072-bit ≈ ECDSA/Ed25519 256-bit
RSA 15360-bit ≈ ECDSA/Ed25519 512-bit

RSA factoring time complexity:
Classical: O(exp((log N)^(1/3) * (log log N)^(2/3)))
Quantum: O((log N)^3)

ECDLP solving time complexity:
Classical: O(√n)
Quantum: O((log n)^3)