Μετά από έξι μήνες ανάπτυξης απελευθέρωση , μια εφαρμογή ανοιχτού πελάτη και διακομιστή για εργασία μέσω των πρωτοκόλλων SSH 2.0 και SFTP.
Ιδιαίτερη προσοχή στη νέα έκδοση είναι η εξάλειψη μιας ευπάθειας που επηρεάζει τα ssh, sshd, ssh-add και ssh-keygen. Το πρόβλημα υπάρχει στον κώδικα για την ανάλυση ιδιωτικών κλειδιών με τον τύπο XMSS και επιτρέπει σε έναν εισβολέα να ενεργοποιήσει μια υπερχείλιση ακέραιου αριθμού. Το θέμα ευπάθειας επισημαίνεται ως εκμεταλλεύσιμο, αλλά ελάχιστα χρήσιμο, καθώς η υποστήριξη για κλειδιά XMSS είναι μια πειραματική δυνατότητα που είναι απενεργοποιημένη από προεπιλογή (η φορητή έκδοση δεν έχει καν επιλογή κατασκευής στην αυτόματη ρύθμιση για να ενεργοποιήσει το XMSS).
Βασικές αλλαγές:
- Σε ssh, sshd και ssh-agent κώδικας που εμποδίζει την ανάκτηση ενός ιδιωτικού κλειδιού που βρίσκεται στη μνήμη RAM ως αποτέλεσμα επιθέσεων πλευρικού καναλιού, όπως π.χ. , и . Τα ιδιωτικά κλειδιά κρυπτογραφούνται τώρα όταν φορτώνονται στη μνήμη και αποκρυπτογραφούνται μόνο όταν χρησιμοποιούνται, παραμένοντας κρυπτογραφημένα τον υπόλοιπο χρόνο. Με αυτήν την προσέγγιση, για την επιτυχή ανάκτηση του ιδιωτικού κλειδιού, ο εισβολέας πρέπει πρώτα να ανακτήσει ένα τυχαία δημιουργημένο ενδιάμεσο κλειδί μεγέθους 16 KB, το οποίο χρησιμοποιείται για την κρυπτογράφηση του κύριου κλειδιού, κάτι που είναι απίθανο δεδομένου του ποσοστού σφάλματος ανάκτησης που είναι τυπικό των σύγχρονων επιθέσεων.
- В Προστέθηκε πειραματική υποστήριξη για ένα απλοποιημένο σχήμα δημιουργίας και επαλήθευσης ψηφιακών υπογραφών. Οι ψηφιακές υπογραφές μπορούν να δημιουργηθούν χρησιμοποιώντας κανονικά κλειδιά SSH που είναι αποθηκευμένα στο δίσκο ή στο ssh-agent και επαληθεύονται χρησιμοποιώντας κάτι παρόμοιο με τα authorized_keys . Οι πληροφορίες χώρου ονομάτων είναι ενσωματωμένες στην ψηφιακή υπογραφή για αποφυγή σύγχυσης όταν χρησιμοποιούνται σε διαφορετικούς τομείς (για παράδειγμα, για email και αρχεία).
- Το ssh-keygen έχει αλλάξει από προεπιλογή για να χρησιμοποιεί τον αλγόριθμο rsa-sha2-512 κατά την επικύρωση πιστοποιητικών με ψηφιακή υπογραφή που βασίζεται σε κλειδί RSA (όταν εργάζεστε σε λειτουργία CA). Τέτοια πιστοποιητικά δεν είναι συμβατά με εκδόσεις πριν από το OpenSSH 7.2 (για να διασφαλιστεί η συμβατότητα, ο τύπος αλγορίθμου πρέπει να παρακαμφθεί, για παράδειγμα καλώντας "ssh-keygen -t ssh-rsa -s ...").
- Στο ssh, η έκφραση ProxyCommand υποστηρίζει τώρα την επέκταση της αντικατάστασης "%n" (το όνομα κεντρικού υπολογιστή που καθορίζεται στη γραμμή διευθύνσεων).
- Στις λίστες των αλγορίθμων κρυπτογράφησης για ssh και sshd, μπορείτε τώρα να χρησιμοποιήσετε τον χαρακτήρα "^" για να εισαγάγετε τους προεπιλεγμένους αλγόριθμους. Για παράδειγμα, για να προσθέσετε το ssh-ed25519 στην προεπιλεγμένη λίστα, μπορείτε να καθορίσετε "HostKeyAlgorithms ^ssh-ed25519";
- Το ssh-keygen παρέχει έξοδο ενός σχολίου που επισυνάπτεται στο κλειδί κατά την εξαγωγή ενός δημόσιου κλειδιού από ένα ιδιωτικό.
- Προστέθηκε η δυνατότητα χρήσης της σημαίας "-v" στο ssh-keygen κατά την εκτέλεση λειτουργιών αναζήτησης κλειδιών (για παράδειγμα, "ssh-keygen -vF host"), προσδιορίζοντας ποιο έχει ως αποτέλεσμα μια οπτική υπογραφή κεντρικού υπολογιστή.
- Προστέθηκε η δυνατότητα χρήσης ως εναλλακτική μορφή για την αποθήκευση ιδιωτικών κλειδιών στο δίσκο. Η μορφή PEM συνεχίζει να χρησιμοποιείται από προεπιλογή και το PKCS8 μπορεί να είναι χρήσιμο για την επίτευξη συμβατότητας με εφαρμογές τρίτων κατασκευαστών.
Πηγή: opennet.ru