28、端口敲门与单包授权技术的安全剖析及fwknop应用指南

端口敲门与单包授权技术的安全剖析及fwknop应用指南

1. 模糊安全之争

端口敲门（Port Knocking）和单包授权（SPA）是否属于模糊安全（Security Through Obscurity）范畴，一直是安全界热议的话题。当一项新安全技术提出，全球研究人员会审查其架构，其中一项常见测试就是看它是否存在模糊安全问题，若有则会尝试修复架构。所以判断SPA是否存在此问题很重要。

Bruce Schneier在《应用密码学》前言中给出一个形象比喻：把信锁进保险箱，藏在纽约某处让你去读信，这是模糊而非安全；若给你保险箱、设计规格及数百个相同保险箱和密码，你和顶级开锁匠研究后仍打不开读不到信，这才是安全。

开源的端口敲门或SPA实现类似提供保险箱内部工作细节，从加密算法到软件与包过滤器的接口都公开可见。加密的SPA数据包或端口敲门序列在网络传输时，唯一隐藏的是加密密钥，而强大的密码系统不会因密钥未公开就存在模糊安全问题。

假设有一个比端口敲门或SPA弱的安全系统，在OpenSSH服务器守护进程的特定功能中发现漏洞，创建一个补丁要求远程SSH客户端访问该功能时提供加密数据，用如Rijndael或GnuPG使用的Elgamal等成熟密码算法加密。在这个假设例子中，只要加密算法安全，利用该漏洞进行攻击的可能性就会降低，此修复并非依赖模糊安全。

端口敲门（至少加密形式）和SPA比这个例子有更好的安全特性，恶意客户端不提供加密数据，连与SSH服务器的TCP会话都无法建立，更别提与SSH守护进程通信。所以，端口敲门和SPA本质上是一种通用机制，让OpenSSH守护进程的所有功能在未提供加密数据时都无法访问，它们不应被视为单纯的模糊安全技术。