新的加密算法，SSH

Question

我被要求增加一個新的算法，通過ssh這樣的數據在新算法加密的，任何想法如何添加新的算法到ssh？

感謝

Answer 1

是可能的一些新的算法加入到SSH通信，這是從時間做的時候（例如AES，後來加入）。但問題是，你需要修改客戶端和服務器，以便他們都支持這種算法，否則它是沒有意義的。

我假定您被要求添加一些自定義的，自制的或非標準的算法。所以我想要做的第一件事就是警告你，添加的算法可能很弱。您至少需要執行基本搜索有關此算法的信息，就好像它已經損壞一樣，您將完成無用甚至危險的工作。

至於軟件修改本身 - 這是一個罕見的工作，很可能你不會在這裏找到任何有這種經驗的人。但是，處理各種算法的代碼是典型的，添加新算法很簡單 - 您可以添加一個帶有算法實現的源文件，然後通過向switch語句添加一個更多的案例來修改一堆地方。

Answer 2

在我的職業生涯，我對銷售作爲閉源的商業軟件SSH的私人叉工作。即使他們處於瘋狂的愚蠢行爲（私人分支，他們正確的思想使用非開源加密軟件，我認爲我們的客戶完全不在他們的搖滾樂隊中），並沒有增加新的加密算法。

雖然可以做到。將掛鉤添加到ssh協議來支持它並不難。該協議旨在以這種方式進行擴展。在開始時，客戶端和服務器交換他們願意使用的加密算法列表。

這意味着，當然，只有經過修改的客戶端和修改後的服務器才能與對方通話。

真正的困難是OpenSSL。 ssh不使用TLS/SSL，但它使用OpenSSL加密庫。你必須將新算法添加到該庫中，該庫是一個可怕的野獸。

雖然，我想你可以添加算法不將其加入OpenSSL的。這可能會非常棘手，儘管我認爲openssh可能會嚴重依賴OpenSSL API的工作方式。並且它們的工作方式的一部分允許你傳遞一個常量來表示你想要使用哪種算法，然後傳遞一個標準的加密和解密調用集合，用這個常量來決定算法。

不過，如果我記得正確的話，OpenSSL有一個專門爲其套件添加新算法的API。所以這可能不那麼難。在初始化OpenSSL庫時，您必須確保這種情況發生。

無論如何，這是一個相當含糊的答案，但也許它會指出你在正確的方向。你應該讓這麼做的人付出鉅額的資金。需要這種知識水平的愚蠢行爲永遠不會便宜。