A Camada de Transporte do SSH, padronizada na RFC 4253, é o alicerce absoluto de segurança sobre o qual todo o protocolo é construído. Sua função principal é estabelecer um canal de comunicação cifrado, íntegro e autenticado (em nível de servidor) sobre uma conexão TCP padrão. É nesta camada que ocorre a “mágica” da criptografia híbrida, transformando um fluxo de dados em texto claro em um túnel impenetrável que protege contra a interceptação e a manipulação de dados por terceiros maliciosos.
1. O Protocolo de Pacotes Binários (Binary Packet Protocol)
Diferente do diálogo inicial de texto, a camada de transporte opera através de um protocolo binário rigoroso:
- Estrutura do Pacote: Cada pacote SSH contém o tamanho do pacote, o preenchimento (padding) para alinhar a criptografia, a carga útil informativa (Payload) e o código de autenticação de mensagem (MAC).
- Integridade Garantida: O uso de MACs (como HMAC-SHA2-256) garante que qualquer alteração de um único bit no trânsito invalidará o pacote, fazendo com que o SSH encerre a conexão imediatamente por razões de segurança.
2. Negociação e Troca de Chaves (KEX - Key Exchange)
Antes de qualquer dado ser transmitido, o cliente e o servidor devem concordar com um “segredo compartilhado” sem nunca enviá-lo pela rede.
- Diffie-Hellman / ECDH: Utilizando algoritmos de troca de chaves, as duas pontas geram a Chave de Sessão (Session Key). Esta chave simétrica será usada para cifrar todo o tráfego subsequente.
- PFS (Perfect Forward Secrecy): O SSH utiliza chaves efêmeras, o que significa que, se a Chave Privada do servidor for comprometida no futuro, as sessões passadas capturadas não poderão ser decifradas.
3. Autenticação do Servidor (Host Authentication)
A camada de transporte resolve um problema crítico: “Como o cliente sabe que o servidor é quem ele diz ser?”.
- Host Keys: O servidor possui um par de chaves assimétricas (RSA, Ed25519) que o identificam de forma única. Durante o handshake, o servidor assina os dados da troca de chaves. O cliente verifica se a assinatura é válida usando a chave pública do servidor armazenada no arquivo known_hosts.
4. Perspectiva de Cyber Security e Hardening de Transporte
Para o analista de segurança, o endurecimento da camada de transporte é o primeiro passo para o isolamento de ameaças.
Seleção de Cifras e Algoritmos (Ciphers)
Servidores SSH antigos permitem cifras fracas como 3DES ou Blowfish, que são vulneráveis a ataques modernos.
- Endurecimento: Configurar o servidor para aceitar apenas cifras modernas como AES-256-GCM ou ChaCha20-Poly1305. Desativar o uso de algoritmos de hash baseados em MD5 ou SHA1 para os MACs.
Re-keying (Troca Periódica de Chaves)
Para evitar que um atacante consiga coletar dados suficientes para realizar uma análise criptográfica, a camada de transporte realiza o “Re-keying”.
- Frequência: Após 1 hora de conexão ou a transferência de 1GB de dados, o SSH dispara automaticamente uma nova troca de chaves, gerando um novo segredo de sessão e invalidando o antigo.
5. Auditoria Técnica e Diagnóstico de Transporte
Inspecionar a fase de transporte permite detectar ataques de Man-in-the-Middle e falhas de compatibilidade:
# Forçando o uso de uma cifra específica para testes de conformidade
ssh -c aes256-gcm@openssh.com usuario@servidor
# Inspecionando a troca de versões e negociação de KEX (Modo Verboso)
ssh -vvv localhost 2>&1 | grep "kex"
6. Conclusão: O Alicerce Inquebrável
A Camada de Transporte é o que separa o SSH de ferramentas de acesso remoto comuns. Sua capacidade de garantir a integridade via MACs e a privacidade via criptografia híbrida efêmera faz com que o protocolo seja a escolha soberana para a gerência de dados confidenciais. Dominique a lógica de Host Keys, gerencie as listas de cifras permitidas em sua infraestrutura e monitore as negociações de chaves para garantir que o seu túnel administrativo seja um forte inexpugnável no cenário de ameaças cibernéticas globais.