ProHoster > Blog > actualités internet > Version OpenSSH 9.5

Version OpenSSH 9.5

OpenSSH 9.5, une implémentation open source d'un client et d'un serveur pour travailler sur les protocoles SSH 2.0 et SFTP, a été publiée.

Les principaux changements:

  • Par défaut, ssh-keygen permet la génération de clés à partir de la signature numérique Ed25519, développée par Daniel Bernstein et normalisée dans la RFC 8709. Il est à noter que les clés Ed25519 sont prises en charge depuis la sortie d'OpenSSH 6.5 (2014) et sont plus pratiques grâce à leur petite taille. Parallèlement, les signatures numériques Ed25519 offrent un niveau de sécurité supérieur à celui des signatures ECDSA et DSA, et affichent une vitesse de vérification et de création de signature très élevée. La résistance au piratage d'Ed25519 est d'environ 2 ^ 128 (en moyenne, une attaque sur Ed25519 nécessite 2 ^ 140 opérations sur les bits), ce qui correspond à la résistance d'algorithmes tels que NIST P-256 et RSA avec une taille de clé de 375 octets ou un chiffrement par bloc de 128 bits. Ed25519 est également insensible aux problèmes de collision de hachage, aux attaques par synchronisation du cache et aux attaques par canal auxiliaire.
  • L'utilitaire ssh a été mis à jour pour se protéger contre les attaques par canal auxiliaire qui analysent les délais entre les frappes au clavier afin de reconstituer la saisie. Ces attaques reposent sur le fait que les délais entre les frappes lors de la saisie de texte dépendent de la disposition des touches du clavier (par exemple, la réponse à la frappe de la lettre « F » est plus rapide que celle de « Q » ou « X », car elle nécessite moins de mouvements des doigts). SSH était vulnérable à ces attaques car il envoyait les informations relatives au caractère saisi dans un paquet distinct immédiatement après chaque frappe ; les délais entre l'envoi des paquets étaient donc corrélés aux délais entre les frappes.

    Pour masquer les fonctionnalités de saisie interactive dans le trafic SSH, les données ne sont pas envoyées telles qu'elles sont saisies, mais uniquement à intervalles fixes (20 ms par défaut). De plus, pour dérouter les attaquants, des frappes de touches fictives sont envoyées à des moments aléatoires après l'envoi des données réelles. Pour configurer la protection, le paramètre « ObscureKeystrokeTiming » a été ajouté à ssh_config.

  • ssh et sshd prennent en charge l'extension de protocole SSH « ping@openssh.com », qui ajoute un nouveau type de message SSH2_MSG_PING et SSH2_MSG_PONG pour l'envoi périodique de paquets à intervalles réguliers. Cette extension est nécessaire pour la protection mentionnée ci-dessus contre les attaques par canal auxiliaire.
  • sshd permet de remplacer les directives Sybsystem via des blocs Match.
  • Dans sshd, la directive Subsystem a modifié la gestion des guillemets, qui sont désormais conservés pour les commandes et les arguments, ce qui peut entraîner des problèmes de compatibilité avec des configurations très rares.

Source: opennet.ru

Achetez un hébergement fiable pour les sites avec protection DDoS, serveurs VPS VDS 🔥 Achetez un hébergement web fiable avec protection DDoS, serveurs VPS et VDS | ProHoster