在Windows 環境中的大多數身份驗證都基于用戶名-密碼對完成的,很容易受到暴力攻擊入侵。相對于Linux 環境通常使用公鑰/私鑰對來驅動身份驗證,這不要求使用可推測的密碼。“私鑰”文件和“公鑰”文件采用非對稱加密算法生成,私鑰文件等效于密碼,用于解密由公鑰加密的數據。
基于密鑰的身份驗證的工具的具體實現邏輯是:
客戶端:ssh-keygen:生成安全的密鑰,公鑰和私鑰;
客戶端:ssh-agent 和 ssh-add:安全地存儲私鑰,加載私鑰后,客戶端本地系統可刪除私鑰文件;
客戶端:scp 和 sftp:客戶端把公鑰上傳到SSH服務端。
那么,Windows10系統該如何實現基于密鑰的身份驗證呢?本期文章予以揭曉。
客戶端系統生成私鑰和公鑰文件。
打開系統命令提示符,輸入命令“ssh-keygen -t ed25519”;
按 Enter 來接受默認值,或指定要在其中生成密鑰的路徑和/或文件名,然后,系統會提示你使用密碼來加密你的私鑰文件;
直接按 Enter默認不設置密碼,建議使用密碼加密私鑰文件,從而實現基于密碼與密鑰文件的雙因子身份驗證。
如下圖所示:
未設置密碼加密私鑰文件;
生成的私鑰文件保存的位置:C:\Users\Administrator/.ssh/Tid_ed25519;
生成的公鑰文件保存的位置:C:\Users\Administrator/.ssh/Tid_ed25519.pub;
客戶端系統啟動ssh-agent服務并加載私鑰。
打開命令提示符【CMD】,輸入命令services.msc打開服務,如下圖所示;
定位到OpenSSH Authentication Agent并啟動該服務。
以管理員權限打開命令提示符【CMD】,輸入命令ssh-add C:\Users\Administrator\.ssh\Tid_ed25519加載私鑰,如下圖所示;
將私鑰加載到客戶端上的 ssh-agent 后,ssh-agent 會自動檢索本地私鑰并將其傳遞給 SSH 客戶端。
Tips:
建議將私鑰備份到一個安全位置,待ssh-agent將其加載后,即可把它從本地系統中刪除。此外,使用強算法Ed25519是無法從代理中檢索私鑰。
客戶端系統把生成的公鑰文件上傳到SSH服務端系統。
對于SSH服務端系統的管理員賬戶,將公鑰(Tid_ed25519.pub)的內容需放置在SSH服務端系統上的一個名為 administrators_authorized_key的文本文件中,該文件位于 C:\ProgramData\ssh\,如下圖所示;
關鍵命令釋義:
#定義變量authorizedKey,把公鑰文件賦值給它
$authorizedKey=Get-Content -Path C:\Users\Administrator\.ssh\Tid_ed25519.pub
#定義變量remotePowershell,并調用變量authorizedKey
$remotePowershell="powershell Add-Content -Force -Path $env:ProgramData\ssh\administrators_authorized_keys -Value '$authorizedKey';icacls.exe ""$env:ProgramData\ssh\administrators_authorized_keys"" /inheritance:r /grant ""Administrators:F"" /grant ""SYSTEM:F"""
#登錄SSH服務端系統并調用變量remotePowershell
ssh administrator@192.168.1.10 $remotePowershell
打開命令提示符【CMD】,輸入命令“ssh 192.168.1.10”,即可登錄SSH服務端系統,如下圖所示;
以上分享,希望各位小伙伴有所收獲,歡迎各位點贊、收藏和指正。
現實生活中,我要給依依轉1個比特幣,我需要在比特幣交易平臺、比特幣錢包或者比特幣客戶端里面,輸入我的比特幣錢包地址、依依的錢包地址、轉出比特幣的數量、手續費。然后,我們等十分鐘左右,礦工處理完交易信息之后,這1個比特幣就成功地轉給依依了。
這個過程看似很簡單也很便捷,跟我們現在的銀行卡轉賬沒什么區別,但是,你知道這個過程是怎樣在比特幣系統里面實現的嗎?它隱藏了哪些原理呢?又或者,它是如何保證交易能夠在一個安全的環境下進行呢?
我們今天就來講一講。
對于轉出方和接收方來講,也就是我和依依(我是轉出方,依依是接收方)我們都需要出具兩個東西:錢包地址、私鑰。
我們先說錢包地址。比特幣錢包地址其實就相當于銀行卡、支付寶賬號、微信錢包賬號,是比特幣支付轉賬的“憑證”,記錄著平臺與平臺、錢包與錢包、錢包與平臺之間的轉賬信息。
我們在使用銀行卡、支付寶、微信轉賬時都需要密碼,才能夠支付成功。那么,在比特幣轉賬中,同樣也有這么一個“密碼”,這個“密碼“被稱作“私鑰”。掌握了私鑰,就掌握了其對應比特幣地址上的生殺大權。
“私鑰”是屬于“非對稱加密算法”里面的概念,與之對應的還有另一個概念,名叫:“公鑰”。
公鑰和私鑰,從字面意思我們就可以理解:公鑰,是可以公開的;而私鑰,是私人的、你自己擁有的、需要絕對保密的。
公鑰是根據私鑰計算形成的,比特幣系統使用的是橢圓曲線加密算法,來根據私鑰計算出公鑰。這就使得,公鑰和私鑰形成了唯一對應的關系:當你用了其中一把鑰匙加密信息時,只有配對的另一把鑰匙才能解密。所以,正是基于這種唯一對應的關系,它們可以用來驗證信息發送方的身份,還可以做到絕對的保密。
我們舉個例子講一下,在非對稱加密算法中,公鑰和私鑰是怎么運作的。
我們知道,公鑰是可以對外公開的,那么,所有人都知道我們的公鑰。在轉賬過程中,我不僅要確保比特幣轉給依依,而不會轉給別人,還得讓依依知道,這些比特幣是我轉給她的,不是鹿鹿,也不是韭哥。
比特幣系統可以滿足我的上述訴求:比特幣系統會把我的交易信息縮短成固定長度的字符串,也就是一段摘要,然后把我的私鑰附在這個摘要上,形成一個數字簽名。因為數字簽名里面隱含了我的私鑰信息,所以,數字簽名可以證明我的身份。
完成之后,完整的交易信息和數字簽名會一起廣播給礦工,礦工用我的公鑰進行驗證、看看我的公鑰和我的數字簽名能不能匹配上,如果驗證成功,都沒問題,那么,就能夠說明這個交易確實是我發出的,而且信息沒有被更改。
接下來,礦工需要驗證,這筆交易花費的比特幣是否是“未被花費”的交易。如果驗證成功,則將其放入“未確認交易”,等待被打包;如果驗證失敗,則該交易會被標記為“無效交易”,不會被打包。
其實,公鑰和私鑰,簡單理解就是:既然是加密,那肯定是不希望別人知道我的消息,所以只能我才能解密,所以可得出:公鑰負責加密,私鑰負責解密;同理,既然是簽名,那肯定是不希望有人冒充我的身份,只有我才能發布這個數字簽名,所以可得出:私鑰負責簽名,公鑰負責驗證。
到這里,我們簡單概括一下上面的內容。上面我們主要講到這么幾個詞:私鑰、公鑰、錢包地址、數字簽名,它們之間的關系我們理一下:
(1)私鑰是系統隨機生成的,公鑰是由私鑰計算得出的,錢包地址是由公鑰計算得出的,也就是:私鑰——公鑰——錢包地址,這樣一個過程;
(2)數字簽名,是由交易信息+私鑰信息計算得出的,因為數字簽名隱含私鑰信息,所以可以證明自己的身份。
私鑰、公鑰都是密碼學范疇的,屬于“非對稱加密”算法中的“橢圓加密算法”,之所以采用這種算法,是為了保障交易的安全,二者的作用在于:
(1)公鑰加密,私鑰解密:公鑰全網公開,我用依依的公鑰給信息加密,依依用自己的私鑰可以解密;
(2)私鑰簽名,公鑰驗證:我給依依發信息,我加上我自己的私鑰信息形成數字簽名,依依用我的公鑰來驗證,驗證成功就證明的確是我發送的信息。
只不過,在比特幣交易中,加密解密啦、驗證啦這些都交給礦工了。
至于我們現在經常用的錢包APP,只不過是私鑰、錢包地址和其他區塊鏈數據的管理工具而已。錢包又分冷錢包和熱錢包,冷錢包是離線的,永遠不聯網的,一般是以一些實體的形式出現,比如小本子什么的;熱錢包是聯網的,我們用的錢包APP就屬于熱錢包。
(作者:OK情報局,內容來自鏈得得內容開放平臺“得得號”;本文僅代表作者觀點,不代表鏈得得官方立場)