Kuuden kuukauden kehitystyön jälkeen vapauta , avoin asiakas- ja palvelintoteutus SSH 2.0- ja SFTP-protokollien kautta työskentelemiseen.
Erityistä huomiota uudessa julkaisussa on ssh-, sshd-, ssh-add- ja ssh-keygen-haavoittuvuuden poistaminen. Ongelma on yksityisten avainten jäsennyskoodissa XMSS-tyypin kanssa ja sallii hyökkääjän laukaista kokonaislukujen ylivuodon. Haavoittuvuus on merkitty hyödynnettäväksi, mutta siitä on vain vähän hyötyä, koska XMSS-avaimien tuki on kokeellinen ominaisuus, joka on oletuksena poistettu käytöstä (siirrettävässä versiossa ei ole edes koontivaihtoehtoa autoconfissa XMSS:n käyttöönottamiseksi).
Suurimmat muutokset:
- ssh:ssa, sshd:ssä ja ssh-agentissa koodi, joka estää RAM-muistissa olevan yksityisen avaimen palauttamisen sivukanavahyökkäysten, kuten esim , и . Yksityiset avaimet salataan nyt, kun ne ladataan muistiin, ja salaus puretaan vain käytön aikana, ja ne pysyvät salattuina muun ajan. Tällä lähestymistavalla hyökkääjän on palautettava yksityisen avaimen onnistuneesti palauttava satunnaisesti luotu 16 kt:n kokoinen väliavain, jota käytetään pääavaimen salaamiseen, mikä on epätodennäköistä nykyaikaisille hyökkäyksille tyypillisen palautusvirhesuhteen vuoksi.
- В Lisätty kokeellinen tuki yksinkertaistetulle järjestelmälle digitaalisten allekirjoitusten luomiseen ja tarkistamiseen. Digitaalisia allekirjoituksia voidaan luoda käyttämällä tavallisia SSH-avaimia, jotka on tallennettu levylle tai ssh-agentiin, ja vahvistaa käyttämällä jotain, joka on samankaltainen kuin authorised_keys. . Nimiavaruuden tiedot on sisäänrakennettu digitaaliseen allekirjoitukseen, jotta vältetään sekaannukset, kun niitä käytetään eri alueilla (esimerkiksi sähköpostissa ja tiedostoissa);
- ssh-keygen on oletusarvoisesti kytketty käyttämään rsa-sha2-512-algoritmia, kun varmenteita vahvistetaan RSA-avaimeen perustuvalla digitaalisella allekirjoituksella (kun työskennellään CA-tilassa). Tällaiset varmenteet eivät ole yhteensopivia OpenSSH 7.2:ta edeltävien julkaisujen kanssa (yhteensopivuuden varmistamiseksi algoritmityyppi on ohitettava, esimerkiksi kutsumalla "ssh-keygen -t ssh-rsa -s ...");
- Ssh:ssä ProxyCommand-lauseke tukee nyt "%n"-korvauksen laajentamista (osoitepalkissa määritetty isäntänimi);
- Ssh- ja sshd-salausalgoritmien luetteloissa voit nyt käyttää "^"-merkkiä oletusalgoritmien lisäämiseen. Jos esimerkiksi haluat lisätä ssh-ed25519 oletusluetteloon, voit määrittää "HostKeyAlgorithms ^ssh-ed25519";
- ssh-keygen tuottaa avaimeen liitetyn kommentin, kun julkista avainta puretaan yksityisestä;
- Lisätty mahdollisuus käyttää "-v" -lippua ssh-keygenissä avainten hakutoimintoja suoritettaessa (esimerkiksi "ssh-keygen -vF host"), mikä määrittää, mikä johtaa visuaaliseen isäntäallekirjoitukseen;
- Lisätty käyttömahdollisuus vaihtoehtoisena muotona yksityisten avainten tallentamiseen levylle. PEM-muotoa käytetään edelleen oletuksena, ja PKCS8 voi olla hyödyllinen yhteensopivuuden saavuttamiseksi kolmansien osapuolien sovellusten kanssa.
Lähde: opennet.ru