Pärast kuuekuulist arengut vabastama , avatud kliendi ja serveri juurutus SSH 2.0 ja SFTP protokollide kaudu töötamiseks.
Erilist tähelepanu uues versioonis on ssh, sshd, ssh-add ja ssh-keygeni mõjutavate haavatavuste kõrvaldamine. Probleem esineb privaatvõtmete XMSS-tüüpi sõelumise koodis ja võimaldab ründajal käivitada täisarvu ülevoolu. Haavatavus on märgitud ärakasutatavaks, kuid sellest on vähe kasu, kuna XMSS-võtmete tugi on eksperimentaalne funktsioon, mis on vaikimisi keelatud (kaasaskantava versiooni puhul pole XMSS-i lubamiseks isegi autoconfis ehitamisvalikut).
Peamised muudatused:
- Ssh-s, sshd-s ja ssh-agendis kood, mis takistab RAM-is asuva privaatvõtme taastamist külgkanalite rünnakute tagajärjel, nt , и . Privaatvõtmed krüpteeritakse nüüd mällu laadimisel ja dekrüpteeritakse ainult siis, kui neid kasutatakse, ülejäänud aja jäävad krüpteerituks. Selle lähenemisviisi korral peab ründaja privaatvõtme edukaks taastamiseks esmalt taastama juhuslikult genereeritud 16 KB suuruse vahevõtme, mida kasutatakse põhivõtme krüptimiseks, mis on ebatõenäoline, arvestades tänapäevastele rünnakutele tüüpilist taastamise veamäära;
- В Lisatud eksperimentaalne tugi digitaalallkirjade loomise ja kontrollimise lihtsustatud skeemi jaoks. Digitaalseid allkirju saab luua kettale või ssh-agendisse salvestatud tavaliste SSH-võtmete abil ja kontrollida, kasutades midagi sarnast, kasutades authorised_keys . Nimeruumi teave on digitaalallkirja sisse ehitatud, et vältida segadust, kui seda kasutatakse erinevates valdkondades (näiteks meilide ja failide jaoks);
- ssh-keygen on vaikimisi lülitatud kasutama rsa-sha2-512 algoritmi RSA võtmel põhineva digitaalallkirjaga sertifikaatide valideerimisel (CA režiimis töötamisel). Sellised sertifikaadid ei ühildu OpenSSH 7.2-le eelnevate väljalasetega (ühilduvuse tagamiseks tuleb algoritmi tüüp alistada, kutsudes näiteks "ssh-keygen -t ssh-rsa -s ...");
- Ssh-s toetab ProxyCommandi avaldis nüüd asendamise "%n" laiendamist (aadressiribal määratud hostinimi);
- Ssh ja sshd krüpteerimisalgoritmide loendites saate nüüd kasutada vaikealgoritmide sisestamiseks märki "^". Näiteks ssh-ed25519 lisamiseks vaikeloendisse saate määrata "HostKeyAlgorithms ^ssh-ed25519";
- ssh-keygen annab võtmele lisatud kommentaari väljundi avaliku võtme eraldamisel privaatsest võtmest;
- Lisati võimalus kasutada võtmeotsingu toimingute tegemisel ssh-keygenis lippu "-v" (näiteks "ssh-keygen -vF host"), täpsustades, mille tulemuseks on visuaalne hostisignatuur;
- Lisatud kasutusvõimalus alternatiivse vorminguna privaatvõtmete kettale salvestamiseks. Vaikimisi kasutatakse jätkuvalt PEM-vormingut ja PKCS8 võib olla kasulik ühilduvuse saavutamiseks kolmandate osapoolte rakendustega.
Allikas: opennet.ru