Altı aylıq inkişafdan sonra buraxın , SSH 2.0 və SFTP protokolları ilə işləmək üçün açıq müştəri və server tətbiqi.
Yeni buraxılışda xüsusi diqqət ssh, sshd, ssh-add və ssh-keygen-ə təsir edən zəifliyin aradan qaldırılmasıdır. Problem XMSS tipli şəxsi açarları təhlil etmək üçün kodda mövcuddur və təcavüzkarın tam ədədlərin daşmasına səbəb olmasına imkan verir. Zəiflik istismar edilə bilən kimi qeyd olunub, lakin az istifadə olunur, çünki XMSS açarlarına dəstək defolt olaraq söndürülmüş eksperimental xüsusiyyətdir (portativ versiyada XMSS-i aktivləşdirmək üçün autoconf-da quraşdırma seçimi belə yoxdur).
Əsas dəyişikliklər:
- Ssh, sshd və ssh-agent-də kimi yan kanal hücumları nəticəsində RAM-da yerləşən şəxsi açarın bərpasına mane olan kod. , и . Şəxsi açarlar indi yaddaşa yükləndikdə şifrələnir və yalnız istifadə edildikdə şifrələnir, qalan vaxtda şifrələnir. Bu yanaşma ilə şəxsi açarı uğurla bərpa etmək üçün təcavüzkar ilk növbədə əsas açarı şifrələmək üçün istifadə edilən 16 KB ölçüsündə təsadüfi yaradılan ara açarı bərpa etməlidir ki, bu, müasir hücumlara xas olan bərpa xətası dərəcəsini nəzərə alsaq, bu, çətin ki;
- В Rəqəmsal imzaların yaradılması və yoxlanması üçün sadələşdirilmiş sxem üçün eksperimental dəstək əlavə edildi. Rəqəmsal imzalar diskdə və ya ssh-agentdə saxlanılan adi SSH açarlarından istifadə etməklə yaradıla və avtorizasiya_açarlarına bənzər bir şeylə yoxlana bilər. . Müxtəlif sahələrdə (məsələn, e-poçt və fayllar üçün) istifadə edildikdə çaşqınlığın qarşısını almaq üçün ad sahəsi məlumatı rəqəmsal imzaya daxil edilmişdir;
- ssh-keygen standart olaraq RSA açarı əsasında rəqəmsal imza ilə sertifikatları təsdiq edərkən (CA rejimində işləyərkən) rsa-sha2-512 alqoritmindən istifadə etmək üçün dəyişdirilib. Bu cür sertifikatlar OpenSSH 7.2-dən əvvəlki buraxılışlarla uyğun gəlmir (uyğunluğu təmin etmək üçün alqoritm növü ləğv edilməlidir, məsələn, "ssh-keygen -t ssh-rsa -s ..." çağırmaqla);
- ssh-də ProxyCommand ifadəsi indi "%n" əvəzetməsinin genişləndirilməsini dəstəkləyir (ünvan sətirində göstərilən host adı);
- ssh və sshd üçün şifrələmə alqoritmlərinin siyahılarında indi standart alqoritmləri daxil etmək üçün "^" simvolundan istifadə edə bilərsiniz. Məsələn, standart siyahıya ssh-ed25519 əlavə etmək üçün "HostKeyAlqoritmləri ^ssh-ed25519" təyin edə bilərsiniz;
- ssh-keygen açıq açarı şəxsi açardan çıxararkən açara əlavə edilmiş şərhin çıxışını təmin edir;
- Əsas axtarış əməliyyatlarını yerinə yetirərkən (məsələn, “ssh-keygen -vF host”) ssh-keygen-də “-v” bayrağından istifadə etmək imkanı əlavə edildi, hansının vizual host imzası ilə nəticələnəcəyini təyin etdi;
- İstifadə etmək imkanı əlavə edildi şəxsi açarları diskdə saxlamaq üçün alternativ format kimi. PEM formatı standart olaraq istifadə olunmağa davam edir və PKCS8 üçüncü tərəf proqramları ilə uyğunluğa nail olmaq üçün faydalı ola bilər.
Mənbə: opennet.ru