بعد ستة أشهر من التطوير الإفراج عن ، تطبيق مفتوح للعميل والخادم للعمل عبر بروتوكولي SSH 2.0 وSFTP.
تم الاهتمام بشكل خاص في الإصدار الجديد بإزالة الثغرة الأمنية التي تؤثر على ssh وsshd وssh-add وssh-keygen. المشكلة موجودة في التعليمات البرمجية الخاصة بتحليل المفاتيح الخاصة بنوع XMSS وتسمح للمهاجم بتشغيل تجاوز عدد صحيح. تم وضع علامة على الثغرة الأمنية على أنها قابلة للاستغلال، ولكنها قليلة الاستخدام، نظرًا لأن دعم مفاتيح XMSS هو ميزة تجريبية يتم تعطيلها افتراضيًا (لا يحتوي الإصدار المحمول حتى على خيار إنشاء في التنسيق التلقائي لتمكين XMSS).
التغييرات الرئيسية:
- في ssh، sshd وssh-agent رمز يمنع استعادة المفتاح الخاص الموجود في ذاكرة الوصول العشوائي (RAM) نتيجة لهجمات القنوات الجانبية، مثل , и . يتم الآن تشفير المفاتيح الخاصة عند تحميلها في الذاكرة، ولا يتم فك تشفيرها إلا عند الاستخدام، وتظل مشفرة بقية الوقت. باستخدام هذا النهج، لاستعادة المفتاح الخاص بنجاح، يجب على المهاجم أولاً استرداد مفتاح متوسط تم إنشاؤه عشوائيًا بحجم 16 كيلو بايت، يستخدم لتشفير المفتاح الرئيسي، وهو أمر غير مرجح نظرًا لمعدل خطأ الاسترداد المعتاد في الهجمات الحديثة؛
- В تمت إضافة دعم تجريبي لنظام مبسط لإنشاء التوقيعات الرقمية والتحقق منها. يمكن إنشاء التوقيعات الرقمية باستخدام مفاتيح SSH العادية المخزنة على القرص أو في وكيل ssh، والتحقق منها باستخدام شيء مشابه للمفاتيح المعتمدة . يتم تضمين معلومات مساحة الاسم في التوقيع الرقمي لتجنب الارتباك عند استخدامها في مناطق مختلفة (على سبيل المثال، للبريد الإلكتروني والملفات)؛
- تم تبديل ssh-keygen افتراضيًا لاستخدام خوارزمية rsa-sha2-512 عند التحقق من صحة الشهادات بتوقيع رقمي يعتمد على مفتاح RSA (عند العمل في وضع CA). هذه الشهادات غير متوافقة مع الإصدارات السابقة لـ OpenSSH 7.2 (لضمان التوافق، يجب تجاوز نوع الخوارزمية، على سبيل المثال عن طريق استدعاء "ssh-keygen -t ssh-rsa -s ...")؛
- في ssh، يدعم تعبير ProxyCommand الآن توسيع الاستبدال "%n" (اسم المضيف المحدد في شريط العناوين)؛
- في قوائم خوارزميات التشفير لـ ssh وsshd، يمكنك الآن استخدام الحرف "^" لإدراج الخوارزميات الافتراضية. على سبيل المثال، لإضافة ssh-ed25519 إلى القائمة الافتراضية، يمكنك تحديد "HostKeyAlgorithms ^ssh-ed25519"؛
- يوفر ssh-keygen مخرجات التعليق المرفق بالمفتاح عند استخراج مفتاح عام من مفتاح خاص؛
- تمت إضافة القدرة على استخدام العلامة "-v" في ssh-keygen عند إجراء عمليات البحث عن المفتاح (على سبيل المثال، "ssh-keygen -vF host")، مع تحديد النتائج التي تؤدي إلى توقيع المضيف المرئي؛
- وأضاف القدرة على الاستخدام كتنسيق بديل لتخزين المفاتيح الخاصة على القرص. يستمر استخدام تنسيق PEM بشكل افتراضي، وقد يكون PKCS8 مفيدًا لتحقيق التوافق مع تطبيقات الطرف الثالث.
المصدر: opennet.ru