如何解密使用 Diffie Hellman 加密的 SSH .pcap 文件。带有公钥和私钥

Question

如何解密使用 Diffie Hellman 加密的 SSH .pcap 文件。有公钥和私钥。

我们正在尝试通过 Wireshark 但没有成功。

Answer 1

临时 Diffie-Hellman（TLS 的 DHE 密码套件）的好处之一是它提供完美的前向保密性。这意味着，即使攻击者有一天获得了用于验证服务器（也可能是客户端）的 DSA 私钥，她也无法返回并解密过去捕获的任何会话。

换句话说，除非您记录了秘密会话密钥，否则您无法解密这些捕获；之后就没有办法恢复了。

这与 RSA 密码套件不同，在 RSA 密码套件中，了解服务器私钥即可解密会话。

Answer 2

由于会话是由临时“会话密钥”加密的，因此最后拥有服务器和/或客户端的公钥/私钥对您来说没有用。这些密钥仅用于验证是否存在中间人攻击。

为了解密 SSH 会话，您必须以某种方式获取会话密钥（可能通过将调试器附加到任一侧的客户端）或执行中间人攻击 - 这需要服务器的私钥（以及客户端（如果正在使用密钥身份验证）。有关后一个选项的更多信息可以在这里找到：http://taosecurity.blogspot .com/2007/08/love-ssh.html

Answer 3

因此，如果我理解得很好，解密 SSH 会话的过程与解码 wifi WPA2-PSK 非常相似，您需要捕获 4 次握手才能导出临时密钥（又名 PTK）。在 wifi WPA2-PSK 中，如果我们没有 4 次握手，即使您知道实际的密码，也无法恢复临时密钥并解密流量。