Le connessioni Secure Shell possono essere configurate opportunamente quando sono richieste comunicazioni crittografate protette tra un host affidabile e il PC attraverso una rete non protetta. Le connessioni Secure Shell garantiscono l'autenticazione sia dell'utente client che del computer host e la crittografia di tutti i dati. Le password non vengono mai inviate attraverso la rete in un formato di testo in chiaro come accade invece quando si utilizza Telnet, FTP o rlogin.
Vengono supportati gli algoritmi di crittografia seguenti:
La crittografia protegge la riservatezza dei dati in transito. La protezione viene realizzata crittografando i dati mediante una chiave segreta e la crittografia prima di inviarli. I dati ricevuti devono essere decrittografati utilizzando la stessa chiave e la stessa crittografia. La crittografia utilizzata per una determinata sessione è la crittografia di livello più elevato nell'ordine di preferenza del client e supportata anche dal server. È possibile utilizzare la scheda Crittografia della finestra di dialogo Impostazioni Reflection Secure Shell per specificare quale cifratura deve essere adottata nella connessione Secure Shell.
Vengono supportati i seguenti standard di crittografia dei dati:
DES (56-bit) - Disponibile solo con SSH protocollo 1
Arcfour, Arcfour128 e Arcfour258 (modalità stream)
TripleDES (168-bit) modalità CBC
Cast (128 bit)
Firma digitale
AES (noto anche come Rijndael) (128, 192 o 256 bit) modalità CBC e modalità CTR
L'integrità dei dati garantisce che i dati non vengano alterati durante il trasferimento. Le connessioni Secure Shell utilizzano MAC (Message Authentication Code) per garantire l'integrità dei dati. Il client e il server calcolano in modo indipendente un hash per ogni pacchetto di dati trasferito. Se il messaggio è cambiato durante il trasferimento, i valori hash sono diversi e il pacchetto viene rifiutato. Il MAC utilizzato per una determinata sessione è il MAC di livello più elevato nell'ordine di preferenza del client e supportato anche dal server. Reflection supporta gli standard MAC seguenti:
hmac-sha1
hmac-md5
hmac-sha1-96
hmac-md5-96
hmac-ripemd-160
hmac-sha256
hmac-sha2-256
hmac-sha512
hmac-sha2-512
Le firme digitali vengono utilizzate per l'autenticazione di chiavi pubbliche (inclusa l'autenticazione del certificato). La parte che esegue l'autenticazione utilizza la firma digitale per confermare che la parte che viene autenticata detiene la chiave privata corretta. Il client Secure Shell utilizza una firma digitale per autenticare l'host. Il server Secure Shell utilizza una firma digitale per autenticare il client quando è configurata l'autenticazione della chiave pubblica. Reflection supporta gli algoritmi di firma digitale seguenti:
x509v3-rsa2048-sha256
x509v3-sign-rsa
x509v3-sign-dss
ssh-rsa-sha2-256@attachmate.com
ssh-rsa
ssh-dss