Friday, March 2, 2012

OpenSSH နဲ့ Private/Public Key Share အပိုင်း(၂)

၁၀) environment variables ထည့်ပေးရမှာဖြစ်တာကြောင့် my computer -> properties -> advance -> environment varibles ဆိုပြီးသွားရပါတယ်။

 - Cygwin ntsec tty (system variables)
 - Cygwin_Root c:\cygwin (user variables)
 - Path C:\cygwin\bin

ဆိုပြီးရိုက်ထည့်ပေးရပါတယ်။ cygwin runtime system အတွက် global settings ပေးထားရတဲ့သဘောပါ။

၁၁) desktop ပေါ်မှာ cygwin terminal icon လေးပေါ်လာပါလိမ့်မယ်။ အဲဒါကိုဖွင့်ပြီး directory ၂ ခုဆောက်ပေးရပါတယ်။

mkgroup -l > /etc/group
mkpasswd -l > /etc/passwd

၁၂) ssh-host-config ဆိုတဲ့ command ကိုဆက်ရိုက်လိုက်ရင် မေးခွန်းအချို့မေးပါလိမ့်မယ်။ အဲဒီမေးခွန်းတွေထဲက Should privilege separation be used ? ဆိုတဲ့မေးခွန်းတစ်ခုကိုပဲ No လို့ဖြေပေးပါ။

note: cygwin=ntsec binmod tty

၁၃) ပြီးရင်တော့ cygwin server ကို run လို့ရပါပြီ။ services အောက်က run လို့ရသလို cygwin terminal မှာ cygrunsrv -S sshd ဆိုတဲ့ command ရိုက်ပြီးလည်း run နိုင်ပါတယ်။

၁၄) cygwin terminal ကနေ cd /home/[PC admin username] လို့ရိုက်ထည့်ပြီး directory ပြောင်းပါ။ ပြီးရင် .ssh ဆိုတဲ့ directory အသစ်တစ်ခုဆောက်ပါ။

mkdir .ssh

မှတ်ချက်၊ home directory ကတော့ c:\cygwin အောက်က directory ဖြစ်ပါတယ်။ အဲဒီအောက် မှာမှ pc name နဲ့ directory တစ်ခုရှိနေပါတယ်။ ခုဆောက်လိုက်တဲ့ .ssh ကတော့ အဲဒီ pc name directory အောက်မှာရှိနေပါလိမ့်မယ်။ c:\cygwin\home\[PC admin username]\.ssh

အခု ssh server တစ်ခုတည်ဆောက်ပြီးဖြစ်တာကြောင့် .ssh folder အောက်မှာ client ရဲ့ public key ကိုသိမ်းဆည်းပေးထားရမှာဖြစ်ပါတယ်။ ဒါကြောင့် client ဟာ  c:\cygwin\home\[PC admin username] အောက်က directory များကိုပဲ access လုပ်ခွင့်ရှိမှာဖြစ်ပြီး c:\cygwin\home\[PC admin username] ထဲက ဖိုင်တွေကို download လုပ်ယူနိုင်မှာဖြစ်ပါတယ်။

အခုလို ssh server ကို public/private key share နဲ့ ဆက်သွယ်အသုံးပြုခြင်းအား ssh password-less authentication လို့လည်းခေါ်ပါတယ်။ ဒါကြောင့် client ဟာ username အဖြစ် PC admin username နဲ့ password အဖြစ် rsa private key file တွေကိုအသုံးပြုပြီး ကိုလုပ် ရပါတယ်။

အပိုင်း ၃ မသွားခင်မှာ ssh sftp server အခုလို public/private key share နဲ့ access လုပ်ခြင်းရဲ့ အသုံးဝင်ပုံအကြောင်းဆွေးနွေးကြတာပေါ့။

ssh sftp server အတွက် secure authentication တည်ဆောက်ရင် အခုကျနော်တို့သုံးနေတဲ့ public/private key share digital signature က common အဖြစ်ဆုံးဖြစ်ပါတယ်။

ssh က secure ဖြစ်လှပေမယ့်  brute force attack လို့ခေါ်တဲ့ exhaustive key search method တွေနဲ့ encrypted data တွေကိုဖောက်ထွင်းပြီး server ကို access လုပ်ဖို့ကြိုးစားတာ တွေရှိတာကြောင့် key based authentication ကတော့ standard user/password authentication ကို disable လုပ်ထားနိုင်လိုက်ပြီဖြစ်တာနဲ့အညီ server ကိုတခြားတနေရာက တရားမဝင်ချဉ်းကပ်လာမယ့်အကျိုးဆက်တွေပိုပြီးလျော့ခံချလိုက်ရပြီဖြစ်ပါတယ်။

public/private key share digital signature ကိုအခြေခံပြီး စင်ကာပူနိုင်ငံရဲ့ အစိုးရအဖွဲ့အစည်းတစ်ခုဖြစ်တဲ့ IDA က SSID (Singapore standard for identification) ကိုမိတ်ဆက်ပေးပြီး နိုင်ငံတဝှမ်းလုံးမှာ one card solution ကိုအသုံးပြုဖို့ စတင်နေပြီဖြစ်ပါတယ်။ IDA website မှာဖော်ပြထားတာလေးကို share ပေးလိုက်ပါရစေ။ 

SSID is a Singapore standard for identification and is based on the e-passport specifications developed by ICAO (International Civil Aviation Organisation) 

one card solution ဆိုတာက နိုင်ငံသားတစ်ယောက်ရဲ့ ID Card / Passport ကစပြီး ဘဏ်ကဒ်၊ ကား/ရထားစီးတဲ့ကဒ် စတဲ့ကဒ်တွေအားလုံးပေါင်းပြီး တစ်ကဒ်တည်းနဲ့ အလုပ်ဖြစ်စေဖို့ပါ။ အလုပ် လုပ်ပုံကို အရှင်းဆုံးပြောရရင်တော့ ကဒ်တွေထဲက private key နဲ့ encrypt လုပ်မယ်၊ reader ထဲ က public key နဲ့ decrypt လုပ်မယ်။ အဲဒီလို card နဲ့ reader အဆက်အသွယ် လုပ်တယ်ပေါ့။

ကဒ်တွေထဲက private key တွေကတော့ AES and 3DES လို့ ခေါ်တဲ့ symmetric cryptography algorithm တွေနဲ့ RSA and DSA လို့ခေါ်တဲ့ asymmetric algorithm တွေကို သုံးပြီးထုတ်ထားကြတာဖြစ်ပါတယ်။ ဒါမှမဟုတ် sha1 နဲ့ rsa (1024) based key တွေကိုပေါင်းပြီး SOD လို့ခေါ်တဲ့ security data object တွေထုတ်ပြီးသုံးကြတာဖြစ်ပါတယ်။

ကဒ်ထုတ်တဲ့ကုမ္ပဏီအလိုက် algorithm သုံးပုံကွဲပြား ပါတယ်။ Card Reader ထဲမှာတော့ public key ကို embedded လုပ်ထားပြီး ကဒ်ကို read လုပ်လိုက်တာနဲ့ ကဒ်ရဲ့ authentication ကို public key နဲ့ decrypt လုပ်ပြီးစစ်ဆေးပါတယ်။ SSID reader တွေ အဖြစ် ဥပမာ - oberthur နဲ့ acs ကုမ္ပဏီတွေကထုတ်တဲ့ reader တွေကိုသုံးကြပါတယ်။

ကျနော်တို့နိုင်ငံကြီးလည်း ခေတ်မီတိုးတက်ဖွံ့ဖြိုးဖို့တာဆူနေတာနဲ့အမျှ ဒါမျိုးလေးတွေအသုံးပြုလာ နိုင်ဖို့လတ်တလောစောနေသေးရင်တောင် တချိန်ချိန်မှာအသုံးပြုလာနိုင်ခဲ့ရင် ခေတ်မီတဲ့နည်းစနစ် တစ်ခုနိုင်ငံတော်ကြီးမှာ အသုံးပြုနေပါသည်ပေါ့။ :) 

အပိုင်း ၃ ကိုဆက်ပါ့မယ်။

1 comment: