ProHoster > Blog > internetske vijesti > Izdanje OpenSSH 8.1

Izdanje OpenSSH 8.1

Nakon šest mjeseci razvoja predstavio puštanje OpenSSH 8.1, otvorena klijentska i poslužiteljska implementacija za rad preko SSH 2.0 i SFTP protokola.

Posebna pažnja u novom izdanju je eliminacija ranjivosti koja utječe na ssh, sshd, ssh-add i ssh-keygen. Problem je prisutan u kodu za raščlanjivanje privatnih ključeva s tipom XMSS i omogućuje napadaču da pokrene prekoračenje cijelog broja. Ranjivost je označena kao iskoristiva, ali od male koristi, budući da je podrška za XMSS ključeve eksperimentalna značajka koja je onemogućena prema zadanim postavkama (prijenosna verzija čak nema opciju izgradnje u autoconf-u za omogućavanje XMSS-a).

Velike promjene:

  • U ssh, sshd i ssh-agent dodano kod koji sprječava oporavak privatnog ključa koji se nalazi u RAM-u kao rezultat napada sa strane kanala, kao što je Bauk, Otapanje, RowHammer и RAMBleed. Privatni ključevi sada su šifrirani kada se učitaju u memoriju i dešifriraju samo kada su u upotrebi, a ostatak vremena ostaju šifrirani. Ovim pristupom, za uspješan oporavak privatnog ključa, napadač prvo mora oporaviti nasumično generirani posredni ključ veličine 16 KB, koji se koristi za šifriranje glavnog ključa, što je malo vjerojatno s obzirom na stopu pogrešaka oporavka tipičnu za moderne napade;
  • В ssh-keygen Dodana je eksperimentalna podrška za pojednostavljenu shemu za stvaranje i provjeru digitalnih potpisa. Digitalni potpisi mogu se izraditi korištenjem uobičajenih SSH ključeva pohranjenih na disku ili u ssh-agentu i verificirati korištenjem nečeg sličnog autoriziranim_ključevima popis valjanih ključeva. Informacije o prostoru imena ugrađene su u digitalni potpis kako bi se izbjegla zabuna kada se koriste u različitim područjima (na primjer, za e-poštu i datoteke);
  • ssh-keygen je prema zadanim postavkama prebačen da koristi algoritam rsa-sha2-512 prilikom provjere valjanosti certifikata s digitalnim potpisom na temelju RSA ključa (kada radi u CA načinu). Takvi certifikati nisu kompatibilni s izdanjima prije OpenSSH 7.2 (kako bi se osigurala kompatibilnost, tip algoritma mora se nadjačati, na primjer pozivom "ssh-keygen -t ssh-rsa -s ...");
  • U ssh-u, izraz ProxyCommand sada podržava proširenje zamjene "%n" (naziv hosta naveden u adresnoj traci);
  • Na popisima algoritama šifriranja za ssh i sshd sada možete koristiti znak "^" za umetanje zadanih algoritama. Na primjer, da dodate ssh-ed25519 na zadani popis, možete navesti "HostKeyAlgorithms ^ssh-ed25519";
  • ssh-keygen daje izlaz komentara priloženog ključu prilikom izdvajanja javnog ključa iz privatnog;
  • Dodana je mogućnost korištenja oznake “-v” u ssh-keygenu prilikom izvođenja operacija traženja ključa (na primjer, “ssh-keygen -vF host”), navodeći što rezultira vizualnim potpisom hosta;
  • Dodana mogućnost korištenja PKCS8 kao alternativni format za pohranu privatnih ključeva na disk. PEM format i dalje se koristi prema zadanim postavkama, a PKCS8 može biti koristan za postizanje kompatibilnosti s aplikacijama trećih strana.

Izvor: opennet.ru

Dodajte komentar