ከስድስት ወር እድገት በኋላ መልቀቅ በኤስኤስኤች 2.0 እና በኤስኤፍቲፒ ፕሮቶኮሎች ለመስራት ክፍት ደንበኛ እና አገልጋይ ትግበራ።
በአዲሱ ልቀት ውስጥ ልዩ ትኩረት ssh፣ sshd፣ ssh-add እና ssh-keygenን የሚጎዳ ተጋላጭነትን ማስወገድ ነው። ችግሩ የግል ቁልፎችን በXMSS አይነት ለመተንተን በኮዱ ውስጥ አለ እና አጥቂ የኢንቲጀር ትርፍ ፍሰት እንዲፈጥር ያስችለዋል። ለኤክስኤምኤስ ቁልፎች ድጋፍ በነባሪነት የተሰናከለ የሙከራ ባህሪ ስለሆነ ተጋላጭነቱ እንደ በዝባዥ ምልክት ተደርጎበታል ነገር ግን ብዙም ጥቅም የለውም (ተንቀሳቃሽ ስሪቱ ኤክስኤምኤስኤስን ለማንቃት በአውቶኮንፍ ውስጥ የግንባታ አማራጭ እንኳን የለውም)።
ዋና ለውጦች፡-
- በ ssh, sshd እና ssh-ወኪል እንደ የጎን ቻናል ጥቃቶች ምክንያት ራም ውስጥ የሚገኝ የግል ቁልፍ መልሶ ማግኘትን የሚከለክል ኮድ , и . የግል ቁልፎች አሁን ወደ ማህደረ ትውስታ ሲጫኑ የተመሰጠሩ ናቸው እና በሚጠቀሙበት ጊዜ ብቻ ዲክሪፕት ይደረጋሉ ፣ በቀሪው ጊዜ ምስጠራ ይቀራሉ። በዚህ አቀራረብ ፣የግል ቁልፉን በተሳካ ሁኔታ ለማግኘት አጥቂው በመጀመሪያ በዘፈቀደ የተፈጠረ መካከለኛ ቁልፍ 16 ኪ.ባ ፣ ዋናውን ቁልፍ ለማመሳጠር የሚያገለግል ሲሆን ይህም በዘመናዊ ጥቃቶች የተለመደ የመልሶ ማግኛ ስህተት መጠን የማይታሰብ ነው ።
- В ዲጂታል ፊርማዎችን ለመፍጠር እና ለማረጋገጥ ለቀላል እቅድ የሙከራ ድጋፍ ታክሏል። ዲጂታል ፊርማዎች በዲስክ ላይ ወይም በssh-ኤጀንቱ ውስጥ የተከማቹ መደበኛ የኤስኤስኤች ቁልፎችን በመጠቀም ሊፈጠሩ እና ከተፈቀደው_ቁልፍ ጋር ተመሳሳይ የሆነ ነገር በመጠቀም ማረጋገጥ ይቻላል . የስም ቦታ መረጃ በተለያዩ አካባቢዎች ጥቅም ላይ ሲውል ግራ መጋባትን ለማስወገድ (ለምሳሌ ለኢሜል እና ለፋይሎች) በዲጂታል ፊርማ ውስጥ ተገንብቷል ።
- ssh-keygen በ RSA ቁልፍ ላይ ተመስርተው በዲጂታል ፊርማ (በሲኤ ሁነታ ሲሰሩ) የምስክር ወረቀቶችን ሲያረጋግጡ rsa-sha2-512 ስልተቀመር ለመጠቀም በነባሪነት ተቀይሯል። እንደነዚህ ያሉ የምስክር ወረቀቶች ከ OpenSSH 7.2 በፊት ከተለቀቁት ጋር ተኳሃኝ አይደሉም (ተኳሃኝነትን ለማረጋገጥ የአልጎሪዝም አይነት መሻር አለበት ለምሳሌ "ssh-keygen -t ssh-rsa -s ..." በመደወል);
- በssh ውስጥ፣ የProxyCommand አገላለጽ አሁን የ"%n" ምትክን (በአድራሻ አሞሌው ላይ የተገለጸው የአስተናጋጅ ስም) መስፋፋትን ይደግፋል።
- ለ ssh እና sshd የኢንክሪፕሽን ስልተ ቀመሮች ዝርዝሮች ውስጥ አሁን ነባሪ ስልተ ቀመሮችን ለማስገባት የ"^" ቁምፊን መጠቀም ይችላሉ። ለምሳሌ፣ ssh-ed25519ን ወደ ነባሪ ዝርዝር ለመጨመር “HostKeyAlgorithms ^ssh-ed25519”ን መግለጽ ይችላሉ።
- ssh-keygen የወል ቁልፍን ከግል ሲያወጣ ከቁልፍ ጋር የተያያዘውን የአስተያየት ውጤት ያቀርባል።
- የቁልፍ ፍለጋ ስራዎችን በሚያከናውንበት ጊዜ የ"-v" ባንዲራ በ ssh-keygen የመጠቀም ችሎታ ታክሏል (ለምሳሌ "ssh-keygen -vF host"), የትኛውን የእይታ አስተናጋጅ ፊርማ ያስገኛል;
- የመጠቀም ችሎታ ታክሏል። በዲስክ ላይ የግል ቁልፎችን ለማከማቸት እንደ አማራጭ ቅርጸት. የPEM ቅርጸት በነባሪነት ጥቅም ላይ መዋሉን ይቀጥላል፣ እና PKCS8 ከሶስተኛ ወገን መተግበሪያዎች ጋር ተኳሃኝነትን ለማግኘት ጠቃሚ ሊሆን ይችላል።
ምንጭ: opennet.ru