ProHoster > Блог > interretaj novaĵoj > Eldono de OpenSSH 9.5

Eldono de OpenSSH 9.5

OpenSSH 9.5, malfermfonteca kliento- kaj servilo-implementaĵo por SSH 2.0 kaj SFTP, estis publikigita.

Ĉefaj ŝanĝoj:

  • Defaŭlte, ssh-keygen ebligas ŝlosilgeneradon bazitan sur la cifereca subskribo Ed25519, evoluigita de Daniel Bernstein kaj normigita en RFC 8709. Ŝlosiloj Ed25519 estas subtenataj ekde OpenSSH 6.5 (2014) kaj estas pli oportunaj pro sia eta grandeco. Ciferecaj subskriboj Ed25519 ofertas pli altan nivelon de sekureco ol ECDSA kaj DSA, kaj montras tre altan rapidon de konfirmo kaj kreado de subskriboj. La atakrezisto por Ed25519 estas proksimume 2^128 (averaĝe, atako kontraŭ Ed25519 postulus 2^140 bitajn operaciojn), kio respondas al la forto de algoritmoj kiel NIST P-256 kaj RSA kun ŝlosilgrandeco de 375 bajtoj, aŭ 128-bita blokĉifro. Ed25519 ankaŭ estas imuna kontraŭ haŝkolizioj, kaŝmemor-tempigaj atakoj kaj flankkanalaj atakoj.
  • La ilo ssh estis ĝisdatigita kun protekto kontraŭ flankkanalaj atakoj, kiuj analizas la prokrastojn inter klavopremoj sur la klavaro por rekonstrui la enigon. Ĉi tiuj atakoj ekspluatas la fakton, ke la prokrastoj inter klavopremoj dum tajpado dependas de la aranĝo de la klavoj sur la klavaro (ekzemple, tajpi la literon "F" estas pli rapida ol tajpi "Q" aŭ "X" ĉar ĝi postulas malpli da fingromovado). SSH estis sentema al ĉi tiuj atakoj ĉar ĝi sendis informojn pri la tajpita signo en aparta pakaĵeto tuj post ĉiu klavopremo, do la prokrastoj inter pakaĵetaj dissendoj korelaciis kun la prokrastoj inter klavopremoj.

    Por kaŝi la nuancojn de interaga enigo en SSH-trafiko, datumoj estas sendataj nur je fiksitaj intervaloj (20 ms defaŭlte) anstataŭ dum vi tajpas. Krome, por konfuzi atakantojn, falsaj klavopremoj estas sendataj hazarde post kiam realaj datumoj estas senditaj. Por agordi protekton, la parametro "ObscureKeystrokeTiming" estis aldonita al ssh_config.

  • ssh kaj sshd subtenas la SSH-protokolan etendaĵon "ping@openssh.com", kiu aldonas novajn mesaĝtipojn, SSH2_MSG_PING kaj SSH2_MSG_PONG, por sendi pakaĵojn periode je regulaj intervaloj. Ĉi tiu etendaĵo estas necesa por la supre menciita protekto kontraŭ flankkanalaj atakoj.
  • sshd permesas superregi Sybsystem-direktivojn per Match-blokoj.
  • En sshd, la direktivo Subsystem ŝanĝis la traktadon de citiloj, kiuj nun estas konservitaj por komandoj kaj argumentoj, kio povas konduki al kongruecaj problemoj kun tre maloftaj konfiguracioj.

fonto: opennet.ru

Aĉetu fidindan gastigadon por retejoj kun DDoS-protekto, VPS-VDS-serviloj 🔥 Aĉetu fidindan retejan gastigadon kun DDoS-protekto, VPS VDS-servilojn | ProHoster