SFTPはユーザー名とパスワードを安全に送信しますか？

Question

sftpサーバーにログインした場合、 ユーザー名とパスワードは安全に送信されていますか？

また、送信全体が暗号化されるようにするには、証明書ベースの認証が必要ですか。

これはクライアントに依存する場合は、TumbleweedとWinSCPをユーザ名とパスワードを安全に送信するように設定できるかどうか知っていますか？

Answer 1

SFTPの意味によって異なります。 SSHファイル転送プロトコル認証を意味する「本当の」SFTPは、SSH層で行われ、安全です。 FTP-over-TLSの同義語として「SFTP」を使用する人もいます。この場合、ほとんどの場合、ユーザ名とパスワードが送信される前にコマンドチャネルが暗号化されています（これはSSL /普通のFTPではなく）！しかし、クリアテキストで認証することは可能です（例えば、デバッグの目的で）。

Answer 2

SFTPはSSHを継承しています.SSHは、鍵を交換することで安全なトンネルを確立します（最初に接続したときに、鍵を受け入れて保存する方法を思い出してください）。安全なトンネルが確立されると、それを通るすべての通信は暗号化されます。ユーザー名とパスワードはトンネル経由で送信されるため、安全に送信されます。

Answer 3

SFTP自体はまったく認証されません。その仕様によるとassumes that it runs over a secure channel。したがって、基盤となるチャネルが認証を処理することを期待しています（存在する場合）。

SFTPの特定のインスタンスがどのチャネルを実行するのかという疑問があります。 99％の場合、SSH経由で実行されますが（ポート22）、ユーザー名とパスワードを安全に送信します。 SFTPクライアントの大部分（WinSCPは間違いなく）とサーバは、SSH以外のチャネルもサポートしていないことに注意してください。

厳密に言えば、SSHでも暗号化なしまたは劣悪な暗号化を設定できます。やはりほとんどの場合、安全です。また、ほとんどのSSHクライアント（WinSCPは間違いなく）とサーバーでは、暗号化されていないSSHセットアップは許可されていません。

---