Aller au contenu

Authentification hôte à l'aide de clés publiques

Les sessions Secure Shell prennent en charge deux types d'authentification serveur : les clés publiques et les certificats (une forme spécifique d'authentification par clé publique).

Lorsque vous utilisez une authentification d'hôte par clé publique, les étapes se déroulent comme suit.

  1. Le client Secure Shell établit une connexion.

  2. Le serveur envoie sa clé publique au client.

  3. Le client recherche cette clé dans sa liste de clés hôte autorisées.

    Si le client Voici ce qu'il se passe
    Trouve la clé hôte et que la copie client correspond à la clé envoyée par le serveur L'authentification passe à l'étape suivante.
    Ne trouve pas la clé hôte Le client affiche un message indiquant que l'hôte est inconnu et fournit une empreinte de la clé hôte. Si le client est configuré pour autoriser l'utilisateur à accepter des clés inconnues (option par défaut), l'utilisateur peut accepter la clé et l'authentification passe à l'étape suivante.

    Si un contrôle strict des clés hôte est appliqué, le client met fin à la connexion.
    Trouve une clé hôte et que la copie client ne correspond pas à la clé envoyée par le serveur Le client affiche un avertissement indiquant que la clé ne correspond pas à la clé existante et affiche l'empreinte de la clé envoyée par le serveur. Si le client est configuré pour autoriser l'utilisateur à accepter des clés inconnues (option par défaut), l'utilisateur peut accepter la nouvelle clé.

    Si un contrôle strict des clés hôte est appliqué, le client met fin à la connexion.

  4. Pour vérifier que le serveur possède effectivement la clé privée correspondant à la clé publique reçue, le client envoie un essai (message arbitraire) au serveur et calcule un hachage basé sur le texte de ce message.

  5. Le serveur crée une signature numérique en fonction du message d'essai. Pour cela, le serveur calcule séparément le hachage du message, puis chiffre le hachage calculé à l'aide de sa clé privée. Le serveur annexe sa signature numérique à l'essai d'origine et renvoie ce message signé au client.

  6. Le client déchiffre la signature à l'aide de la clé publique et compare le hachage au sien. En cas de correspondance des valeurs, l'authentification hôte aboutit.