ओपनएसएसएच 8.1 का विमोचन

छह महीने के विकास के बाद प्रस्तुत релиз ओपनएसएसएच एक्सएनयूएमएक्स, SSH 2.0 और SFTP प्रोटोकॉल के माध्यम से काम करने के लिए एक खुला क्लाइंट और सर्वर कार्यान्वयन।

नई रिलीज़ में विशेष ध्यान ssh, sshd, ssh-add और ssh-keygen को प्रभावित करने वाली भेद्यता को खत्म करने पर है। समस्या XMSS प्रकार के साथ निजी कुंजियों को पार्स करने के लिए कोड में मौजूद है और एक हमलावर को पूर्णांक अतिप्रवाह को ट्रिगर करने की अनुमति देती है। भेद्यता को शोषण योग्य, लेकिन कम उपयोग के रूप में चिह्नित किया गया है, क्योंकि एक्सएमएसएस कुंजियों के लिए समर्थन एक प्रयोगात्मक सुविधा है जो डिफ़ॉल्ट रूप से अक्षम है (पोर्टेबल संस्करण में एक्सएमएसएस को सक्षम करने के लिए ऑटोकॉन्फ़ में बिल्ड विकल्प भी नहीं है)।

मुख्य परिवर्तन:

• एसएसएच, एसएसएचडी और एसएसएच-एजेंट में जोड़ा कोड जो साइड-चैनल हमलों के परिणामस्वरूप रैम में स्थित निजी कुंजी की पुनर्प्राप्ति को रोकता है, जैसे स्पेक्टर, मेल्टडाउन, रो हैमर и RAMब्लीड. निजी कुंजियाँ अब मेमोरी में लोड होने पर एन्क्रिप्ट की जाती हैं और उपयोग में होने पर ही डिक्रिप्ट की जाती हैं, बाकी समय एन्क्रिप्टेड रहती हैं। इस दृष्टिकोण के साथ, निजी कुंजी को सफलतापूर्वक पुनर्प्राप्त करने के लिए, हमलावर को पहले 16 केबी आकार की एक यादृच्छिक रूप से उत्पन्न मध्यवर्ती कुंजी को पुनर्प्राप्त करना होगा, जिसका उपयोग मुख्य कुंजी को एन्क्रिप्ट करने के लिए किया जाता है, जो कि आधुनिक हमलों की विशिष्ट पुनर्प्राप्ति त्रुटि दर को देखते हुए संभव नहीं है;
• В ssh-keygen डिजिटल हस्ताक्षर बनाने और सत्यापित करने के लिए एक सरलीकृत योजना के लिए प्रयोगात्मक समर्थन जोड़ा गया। डिजिटल हस्ताक्षर डिस्क पर या एसएसएच-एजेंट में संग्रहीत नियमित एसएसएच कुंजी का उपयोग करके बनाए जा सकते हैं, और अधिकृत_कीज़ के समान कुछ का उपयोग करके सत्यापित किया जा सकता है वैध कुंजियों की सूची. विभिन्न क्षेत्रों (उदाहरण के लिए, ईमेल और फ़ाइलों के लिए) में उपयोग किए जाने पर भ्रम से बचने के लिए नेमस्पेस जानकारी को डिजिटल हस्ताक्षर में बनाया गया है;
• RSA कुंजी (CA मोड में काम करते समय) के आधार पर डिजिटल हस्ताक्षर के साथ प्रमाणपत्रों को मान्य करते समय ssh-keygen को rsa-sha2-512 एल्गोरिदम का उपयोग करने के लिए डिफ़ॉल्ट रूप से स्विच किया गया है। ऐसे प्रमाणपत्र ओपनएसएसएच 7.2 से पहले के रिलीज के साथ संगत नहीं हैं (संगतता सुनिश्चित करने के लिए, एल्गोरिदम प्रकार को ओवरराइड किया जाना चाहिए, उदाहरण के लिए "ssh-keygen -t ssh-rsa -s ..." को कॉल करके);
• ssh में, ProxyCommand एक्सप्रेशन अब "%n" प्रतिस्थापन (एड्रेस बार में निर्दिष्ट होस्टनाम) के विस्तार का समर्थन करता है;
• Ssh और sshd के लिए एन्क्रिप्शन एल्गोरिदम की सूची में, अब आप डिफ़ॉल्ट एल्गोरिदम सम्मिलित करने के लिए "^" वर्ण का उपयोग कर सकते हैं। उदाहरण के लिए, ssh-ed25519 को डिफ़ॉल्ट सूची में जोड़ने के लिए, आप "HostKeyAlgorithms ^ssh-ed25519" निर्दिष्ट कर सकते हैं;
• ssh-keygen किसी निजी कुंजी से सार्वजनिक कुंजी निकालते समय कुंजी से जुड़ी एक टिप्पणी का आउटपुट प्रदान करता है;
• कुंजी लुकअप ऑपरेशन (उदाहरण के लिए, "ssh-keygen -vF होस्ट") करते समय ssh-keygen में "-v" ध्वज का उपयोग करने की क्षमता जोड़ी गई, जिसके परिणामस्वरूप विज़ुअल होस्ट हस्ताक्षर निर्दिष्ट होता है;
• उपयोग करने की क्षमता जोड़ी गई पीकेसीएस8 डिस्क पर निजी कुंजियाँ संग्रहीत करने के लिए एक वैकल्पिक प्रारूप के रूप में। PEM प्रारूप का उपयोग डिफ़ॉल्ट रूप से जारी है, और PKCS8 तृतीय-पक्ष अनुप्रयोगों के साथ संगतता प्राप्त करने के लिए उपयोगी हो सकता है।

स्रोत: opennet.ru