Զարգացման վեց ամիս հետո արձակել , բաց հաճախորդի և սերվերի իրականացում SSH 2.0 և SFTP արձանագրությունների միջոցով աշխատելու համար։
Նոր թողարկումում հատուկ ուշադրություն է դարձվում ssh, sshd, ssh-add և ssh-keygen-ի վրա ազդող խոցելիության վերացմանը: Խնդիրն առկա է XMSS տիպով մասնավոր բանալիների վերլուծության կոդում և թույլ է տալիս հարձակվողին գործարկել ամբողջ թվի արտահոսք: Խոցելիությունը նշվում է որպես շահագործելի, բայց քիչ կիրառություն ունի, քանի որ XMSS ստեղների աջակցությունը փորձնական հատկություն է, որն անջատված է լռելյայնորեն (շարժական տարբերակը նույնիսկ չունի կառուցման տարբերակ autoconf-ում՝ XMSS-ը միացնելու համար):
Խոշոր փոփոխություններ.
- ssh-ում, sshd-ում և ssh-agent-ում կոդ, որը կանխում է RAM-ում տեղակայված մասնավոր բանալու վերականգնումը կողմնակի ալիքի հարձակումների արդյունքում, ինչպիսիք են. , и . Անձնական բանալիներն այժմ կոդավորված են, երբ բեռնվում են հիշողության մեջ և վերծանվում են միայն օգտագործման ժամանակ, մնացած ժամանակ մնում են կոդավորված: Այս մոտեցմամբ, մասնավոր բանալին հաջողությամբ վերականգնելու համար հարձակվողը նախ պետք է վերականգնի 16 ԿԲ չափի պատահականորեն ստեղծված միջանկյալ բանալի, որն օգտագործվում է հիմնական բանալին գաղտնագրելու համար, ինչը քիչ հավանական է, հաշվի առնելով ժամանակակից հարձակումներին բնորոշ վերականգնման սխալի մակարդակը:
- В Ավելացվեց փորձնական աջակցություն թվային ստորագրությունների ստեղծման և ստուգման պարզեցված սխեմայի համար: Թվային ստորագրությունները կարող են ստեղծվել սովորական SSH ստեղների միջոցով, որոնք պահվում են սկավառակի վրա կամ ssh-գործակալում և ստուգվում են՝ օգտագործելով authorized_keys-ի նման մի բան: . Անվանատարածքի տեղեկատվությունը ներկառուցված է թվային ստորագրության մեջ՝ տարբեր ոլորտներում օգտագործելու դեպքում շփոթությունից խուսափելու համար (օրինակ՝ էլ.փոստի և ֆայլերի համար);
- ssh-keygen-ը լռելյայն փոխարկվել է՝ RSA-ի ստեղնի վրա հիմնված թվային ստորագրությամբ վկայագրերը վավերացնելու ժամանակ (CA ռեժիմում աշխատելիս) օգտագործելու rsa-sha2-512 ալգորիթմը: Նման վկայագրերը համատեղելի չեն OpenSSH 7.2-ից առաջ թողարկվածների հետ (համատեղելիություն ապահովելու համար ալգորիթմի տեսակը պետք է անտեսվի, օրինակ՝ զանգահարելով «ssh-keygen -t ssh-rsa -s ...»);
- ssh-ում ProxyCommand արտահայտությունն այժմ աջակցում է «%n» փոխարինման ընդլայնմանը (հասցեի տողում նշված հոսթի անունը);
- ssh-ի և sshd-ի գաղտնագրման ալգորիթմների ցանկում այժմ կարող եք օգտագործել «^» նիշը՝ լռելյայն ալգորիթմները տեղադրելու համար: Օրինակ, ssh-ed25519-ը լռելյայն ցանկում ավելացնելու համար կարող եք նշել «HostKeyAlgorithms ^ssh-ed25519»;
- ssh-keygen-ն ապահովում է բանալիին կցված մեկնաբանության ելք՝ մասնավորից հանրային բանալին հանելիս.
- Ավելացրել է «-v» դրոշը ssh-keygen-ում բանալիների որոնման գործողություններ կատարելիս օգտագործելու հնարավորությունը (օրինակ՝ «ssh-keygen -vF host»), նշելով, թե որն է հանգեցնում տեսողական հոստի ստորագրության.
- Ավելացրել է օգտագործման հնարավորությունը որպես սկավառակի վրա մասնավոր բանալիներ պահելու այլընտրանքային ձևաչափ: PEM ձևաչափը շարունակում է օգտագործվել լռելյայն, և PKCS8-ը կարող է օգտակար լինել երրորդ կողմի հավելվածների հետ համատեղելիության հասնելու համար:
Source: opennet.ru