Nakon šest mjeseci razvoja pustiti , implementacija otvorenog klijenta i servera za rad preko SSH 2.0 i SFTP protokola.
Posebna pažnja u novom izdanju je eliminacija ranjivosti koja utiče na ssh, sshd, ssh-add i ssh-keygen. Problem je prisutan u kodu za raščlanjivanje privatnih ključeva sa tipom XMSS i omogućava napadaču da pokrene prekoračenje cijelog broja. Ranjivost je označena kao eksploatibilna, ali od male koristi, pošto je podrška za XMSS ključeve eksperimentalna karakteristika koja je podrazumevano onemogućena (prenosiva verzija čak nema ni opciju izgradnje u autoconf-u za omogućavanje XMSS).
Glavne promjene:
- U ssh, sshd i ssh-agent kod koji sprečava oporavak privatnog ključa koji se nalazi u RAM-u kao rezultat napada sa strane kanala, kao što je , и . Privatni ključevi se sada šifriraju kada se učitaju u memoriju i dešifriraju samo kada su u upotrebi, a ostatak vremena ostaju šifrirani. Sa ovim pristupom, da bi uspješno oporavio privatni ključ, napadač prvo mora oporaviti nasumično generirani međuključ veličine 16 KB, koji se koristi za šifriranje glavnog ključa, što je malo vjerovatno s obzirom na stopu greške pri oporavku tipičnu za moderne napade;
- В Dodata eksperimentalna podrška za pojednostavljenu šemu za kreiranje i provjeru digitalnih potpisa. Digitalni potpisi se mogu kreirati korištenjem regularnih SSH ključeva pohranjenih na disku ili u ssh-agentu, i verificirati korištenjem nečeg sličnog authorized_keys . Informacije o imenskom prostoru ugrađene su u digitalni potpis kako bi se izbjegla zabuna kada se koriste u različitim područjima (na primjer, za e-poštu i datoteke);
- ssh-keygen je po defaultu prebačen da koristi algoritam rsa-sha2-512 pri provjeravanju valjanosti certifikata digitalnim potpisom na osnovu RSA ključa (kada radi u CA modu). Takvi certifikati nisu kompatibilni sa izdanjima prije OpenSSH 7.2 (da bi se osigurala kompatibilnost, tip algoritma se mora nadjačati, na primjer pozivanjem "ssh-keygen -t ssh-rsa -s ...");
- U ssh, izraz ProxyCommand sada podržava proširenje zamjene "%n" (ime hosta navedeno u adresnoj traci);
- Na listama algoritama za šifriranje za ssh i sshd, sada možete koristiti znak "^" za umetanje zadanih algoritama. Na primjer, da dodate ssh-ed25519 na zadanu listu, možete odrediti "HostKeyAlgorithms ^ssh-ed25519";
- ssh-keygen daje izlaz komentara priloženog ključu kada se izvlači javni ključ iz privatnog;
- Dodata je mogućnost korištenja oznake “-v” u ssh-keygenu prilikom izvođenja operacija pretraživanja ključa (na primjer, “ssh-keygen -vF host”), navodeći što rezultira vizualnim potpisom hosta;
- Dodata mogućnost korištenja kao alternativni format za pohranjivanje privatnih ključeva na disk. PEM format se i dalje koristi prema zadanim postavkama, a PKCS8 može biti koristan za postizanje kompatibilnosti sa aplikacijama trećih strana.
izvor: opennet.ru