ProHoster > وبلاگ > اخبار اینترنتی > انتشار OpenSSH 8.1

انتشار OpenSSH 8.1

پس از شش ماه توسعه ارایه شده رهایی OpenSSH 8.1، یک پیاده سازی باز از کلاینت و سرور برای کار بر روی پروتکل های SSH 2.0 و SFTP.

توجه ویژه در نسخه جدید حذف یک آسیب پذیری است که بر ssh، sshd، ssh-add و ssh-keygen تأثیر می گذارد. مشکل در کد تجزیه کلیدهای خصوصی با نوع XMSS وجود دارد و به مهاجم اجازه می دهد تا سرریز عدد صحیح را راه اندازی کند. این آسیب‌پذیری به‌عنوان قابل بهره‌برداری علامت‌گذاری شده است، اما کاربرد کمی دارد، زیرا پشتیبانی از کلیدهای XMSS یک ویژگی آزمایشی است که به‌طور پیش‌فرض غیرفعال است (نسخه قابل حمل حتی گزینه ساخت در تنظیمات خودکار برای فعال کردن XMSS ندارد).

تغییرات اصلی:

  • در ssh، sshd و ssh-agent اضافه کدی که از بازیابی کلید خصوصی واقع در RAM در نتیجه حملات کانال جانبی مانند اسپکتر، Meltdown, RowHammer и رامبلید. کلیدهای خصوصی اکنون هنگام بارگذاری در حافظه رمزگذاری می شوند و تنها در صورت استفاده رمزگشایی می شوند و بقیه زمان رمزگذاری می شوند. با این رویکرد، برای بازیابی موفقیت‌آمیز کلید خصوصی، مهاجم باید ابتدا یک کلید میانی به‌اندازه 16 کیلوبایت به‌طور تصادفی تولید شده را بازیابی کند که برای رمزگذاری کلید اصلی استفاده می‌شود، که با توجه به نرخ خطای بازیابی معمول حملات مدرن، بعید است.
  • В ssh-keygen پشتیبانی آزمایشی برای یک طرح ساده برای ایجاد و تأیید امضای دیجیتال اضافه شده است. امضای دیجیتال را می توان با استفاده از کلیدهای SSH معمولی ذخیره شده روی دیسک یا ssh-agent ایجاد کرد و با استفاده از چیزی شبیه به authorized_keys تأیید کرد. لیست کلیدهای معتبر. اطلاعات فضای نام در امضای دیجیتال برای جلوگیری از سردرگمی در هنگام استفاده در مناطق مختلف (مثلاً برای ایمیل و فایل ها) تعبیه شده است.
  • ssh-keygen به‌طور پیش‌فرض برای استفاده از الگوریتم rsa-sha2-512 هنگام تأیید اعتبار گواهی‌ها با امضای دیجیتال بر اساس کلید RSA (هنگام کار در حالت CA) سوئیچ شده است. چنین گواهی‌هایی با نسخه‌های قبل از OpenSSH 7.2 سازگار نیستند (برای اطمینان از سازگاری، نوع الگوریتم باید لغو شود، برای مثال با فراخوانی "ssh-keygen -t ssh-rsa -s ...").
  • در ssh، عبارت ProxyCommand اکنون از گسترش جایگزینی "%n" (نام میزبان مشخص شده در نوار آدرس) پشتیبانی می کند.
  • در لیست الگوریتم های رمزگذاری برای ssh و sshd، اکنون می توانید از کاراکتر "^" برای درج الگوریتم های پیش فرض استفاده کنید. به عنوان مثال، برای افزودن ssh-ed25519 به لیست پیش فرض، می توانید "HostKeyAlgorithms ^ssh-ed25519" را مشخص کنید.
  • ssh-keygen خروجی یک نظر متصل به کلید را هنگام استخراج یک کلید عمومی از یک کلید خصوصی ارائه می دهد.
  • امکان استفاده از پرچم "-v" در ssh-keygen هنگام انجام عملیات جستجوی کلید (به عنوان مثال، "ssh-keygen -vF host") اضافه شده است، که مشخص می کند کدام یک به امضای میزبان بصری منجر می شود.
  • قابلیت استفاده اضافه شد PKCS8 به عنوان یک فرمت جایگزین برای ذخیره کلیدهای خصوصی روی دیسک. استفاده از قالب PEM به طور پیش فرض ادامه می یابد و PKCS8 ممکن است برای دستیابی به سازگاری با برنامه های شخص ثالث مفید باشد.

منبع: opennet.ru

اضافه کردن نظر