Arista和Cisco如何加密tacacs+加密密钥？

Question

我们在网络设备上使用tacacs作为AAA，我感兴趣/好奇的是我们的设备是如何加密密码设备端的。

在Arista EOS手册的第139页之后，我运行：

switch(config)#tacacs-server key 0 cv90jr1

指南告诉我，相应的加密字符串是020512025B0C1D70。

switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B

看到一个与他们提到的不同的加密字符串，我很好奇。因此，我又添加了10次相同的密钥，并查看了加密版本：

tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D

我找不到关于这件事的任何信息。我特别感兴趣的是，我三次碰撞了手册的密钥，并在其中发生了另一次单独的碰撞。不管他们做什么盐渍，似乎没有一个特别大的输入域。

这是怎么加密的呢？如果对手要获取设备的配置信息(例如..。(show running-config的输出)，计算真正的tacacs+键有多简单？

Cisco IOS的工作方式也一样吗？我没有一个实验室的思科设备来试验这一点，但我的印象是，阿丽斯塔认为不需要不同的功能是相同的阿丽斯塔和思科。

Answer 1

那是思科7型编码。我不愿称它为加密，因为它是一个非常弱的算法。要演示，请将任何加密的字符串放入这个工具中，它将立即为您提供密钥。

加密输出的可变性确实来自某种盐类--特别是tfd;kfoA,.iyewrkldJKD。该字符串是常量的，变化的是起始点--加密字符串的前两个字符表示盐上开始解密的位置。

有关算法实现细节的更多信息，请参见这里。

Answer 2

这些密钥，正如Shane提到的，很难加密，而且通常被认为仅仅是防止对密钥和密码的过度查看的一种防御。实际上，如果没有在Cisco中启用服务密码加密，则密钥将是纯文本。

通常建议，如果您需要与组织之外的人共享此配置，则需要从配置文件和使用类型7的任何其他密码中删除密钥。