Bylo představeno vydání OpenSSH 9.0, otevřené implementace klienta a serveru pro práci s protokoly SSH 2.0 a SFTP. V nové verzi byla utilita scp ve výchozím nastavení přepnuta na použití SFTP namísto zastaralého protokolu SCP/RCP.
SFTP používá předvídatelnější metody zpracování názvů a nepoužívá shellové zpracování vzorů glob v názvech souborů na straně druhého hostitele, což vytváří bezpečnostní problémy. Zejména při použití SCP a RCP server rozhoduje, které soubory a adresáře má odeslat klientovi, a klient pouze kontroluje správnost vrácených názvů objektů, což při absenci řádných kontrol na straně klienta umožňuje server přenést jiné názvy souborů, které se liší od požadovaných.
Protokol SFTP nemá tyto problémy, ale nepodporuje rozšíření speciálních cest, jako je „~/“. Aby se tento rozdíl odstranil, počínaje OpenSSH 8.7 implementace serveru SFTP podporuje rozšíření protokolu "[chráněno e-mailem]" pro rozšíření cest ~/ a ~user/.
Při používání SFTP se uživatelé mohou setkat také s nekompatibilitou způsobenou nutností dvojitého escapování speciálních znaků pro rozšíření cesty v požadavcích SCP a RCP, aby se zabránilo jejich interpretaci vzdálenou stranou. V SFTP se takové escapování nevyžaduje a navíc uvozovky mohou vést k chybě přenosu dat. Vývojáři OpenSSH zároveň odmítli přidat rozšíření, které by v tomto případě replikovalo chování scp, takže dvojité escapování je považováno za chybu, kterou nemá smysl opakovat.
Další změny v nové verzi:
- Ssh a sshd mají ve výchozím nastavení povolen hybridní algoritmus výměny klíčů "[chráněno e-mailem]"(ECDH/x25519 + NTRU Prime), odolný vůči vyzvedávání na kvantových počítačích a v kombinaci s ECDH/x25519 k blokování možných problémů v NTRU Prime, které mohou nastat v budoucnu. V seznamu KexAlgorithms, který určuje pořadí, ve kterém jsou vybírány metody výměny klíčů, je nyní zmíněný algoritmus umístěn na prvním místě a má vyšší prioritu než algoritmy ECDH a DH.
Kvantové počítače ještě nedosáhly úrovně prolomení tradičních klíčů, ale použití hybridního zabezpečení ochrání uživatele před útoky, které zahrnují ukládání zachycených relací SSH v naději, že je bude možné v budoucnu dešifrovat, až budou k dispozici potřebné kvantové počítače.
- Do sftp-server bylo přidáno rozšíření „copy-data“, které umožňuje kopírovat data na straně serveru, aniž byste je museli přenášet na klienta, pokud jsou zdrojové a cílové soubory na stejném serveru.
- Do obslužného programu sftp byl přidán příkaz "cp", který inicializuje klientovi kopírování souborů na straně serveru.
Zdroj: opennet.ru