Post quattuor menses evolutionis release , cliens et serviens exsecutionem ad operandum per SSH 2.0 et protocolla SFTP.
Clavis emendatio in emissione OpenSSH 8.2 fuit facultas utendi duos factores authenticas utendi machinas quae protocollum sustinent. , evolvit societatem . U2F conditionem ferramentorum ignobilium permittit signa ut praesentiam corporis utentis comprobandum, cum eis mutuo occurrat per USB, Bluetooth vel NFC. Tales cogitationes promoventur ut medium authenticas in websites interretiales, maioribus navigatoribus iam suffultae et a variis fabricatoribus gignuntur, inter quas Yubico, Feitian, Thetis et Kensington.
Ad mutuas machinas quae praesentiam utentis confirmant, novae typi "ecdsa-sk" et "ed25519-sk" ad OpenSSH additae sunt, quibus utuntur ECDSA et Ed25519 algorithms digitalis, coniunctis cum SHA-256 Nullam. Procedendi rationes mutuae cum signis in bibliotheca media ponuntur, quae simili modo bibliothecae pro PKCS#11 onerata est et fascia super bibliothecam est. quae instrumenta communicandi cum signis super USB (FIDO U2F/CTAP 1 et FIDO 2.0/CTAP 2 protocolla sustentantur). Bibliotheca media libsk-libfido2 parata ab OpenSSH developers in nucleum libfido2, tum ad OpenBSD.
Ad authenticas et clavem generandam, "SecurityKeyProvider" parametrum denotare debes in uncinis vel SSH_SK_PROVIDER ambitus variabilis pone, iter ad bibliothecam externam libsk-libfido2.so indicando (exporto SSH_SK_PROVIDER=/iter/to/libsk-libfido2. sic). Possibile est aedificare openssh cum constructo-in subsidio bibliothecae lavacri (-cum-securitate-key-builtin), hoc in casu debes parametrum "SecurityKeyProvider=interne" constituere.
Proximam debes currere "ssh-keygen -t ecdsa-sk" vel, si claves iam creatae et conformatae sunt, iungo servo utendo "ssh". Cum ssh-keygen curris, par clavis generatum in "~/.ssh/id_ecdsa_sk" salvabitur et similiter aliis clavibus adhiberi potest.
Clavis publica (id_ecdsa_sk.pub) exscribi debet cum servo in file authenticis. In calculonis servi, solum subscriptio digitalis verificatur, et commercium cum indicibus in clientela exhibetur (libsk-libfido2 in servo instituere non debes, sed minister "ecdsa-sk" clavem generis sustinere debet) . Generatum clavem privatim (id_ecdsa_sk) essentialiter manubrium clavis est, realem clavem tantum in compositione cum sequentia secreta in U2F parte signo repositam formans. Si clavis id_ecdsa_sk incidit in manus impugnantis, ut authenticas transeat, necesse erit etiam accessum ad tessera ferramentaria accedere, sine quibus clavis privata in fasciculo id_ecdsa_sk reposita inutilis est.
Praeterea per defaltam, quando operationes quascumque cum clavibus (tam in generatione et tempore authenticas faciendo), requiritur confirmatio localis praesentiae utentis physicae, exempli gratia, propositum tangendi sensorem in signo, quod difficilem reddit. remota ratio exsequi impetus in signum connexum. Cum alia defensionis linea, tessera etiam per initium temporis ssh-keygen ad clavem fasciculi accedere potest.
Nova versio OpenSSH denuntiavit etiam deprecationem algorithmorum venturam utens SHA-1 hashes propter efficacia collidendi impetus cum praepositione data (sumptus collisionis eligendi circiter 45 milia dollariorum aestimatur). In una emissione venturi, disponunt debilitare facultatem utendi instrumenti digitalis clavi publici utendi algorithmus "ssh-rsa", quod in RFC originali memoratur pro protocollo SSH et in usu late manet (ad probandum usum. de ssh-rsa in systematis tuis, experiri potes per ssh connectere cum optione "-oHostKeyAlgorithms=-ssh-rsa").
Ad leniendum transitum ad novos algorithmos in OpenSSH, in futuro emissione UpdateHostKeys occasus, per defaltam valebit, qui clientes ad certiora algorithms sponte migrabit. Commendatur algorithmus ad migrationem RSA-sha2-256/512 innixus RFC8332 RSA SHA-2 (sustentus ab OpenSSH 7.2 et usus ex defectu), ssh-ed25519 (subnixus ab OpenSSH 6.5) et ecdsa-sha2-nistp256/384/521 innititur. in RFC5656 ECDSA (ex quo OpenSSH 5.7).
In OpenSSH 8.2, facultas connectendi utendi "ssh-rsa" adhuc in promptu est, sed hoc algorithmum ab indice CASsignatureAlgorithmorum remotum est, quod algorithms definit pro digitally signandis novis testimonialibus permissum. Similiter algorithmus diffie-hellman-group14-sha1 remotus est a permutatione algorithmorum clavis defalta. Notandum est usum SHA-1 in libellorum addito periculo coniungi, cum oppugnator illimitatum tempus habeat collisionem pro certificatorio existente, dum tempus oppugnationis clavium hospitum limitatur per nexum timeout (LoginGraceTime ).
Currens ssh-keygen nunc defaltam facit ad algorithmum rsa-sha2-512, quod ab OpenSSH 7.2 sustentatur, qui quaestiones convenientiae creare potest cum conanti processus libellorum signatorum in OpenSSH 8.2 in systematis currit maior OpenSSH emissiones (ad operandum circa exitum cum subscriptionem generans, explicite exprimere potes "ssh-keygen -t ssh-rsa" vel uti ecdsa-sha2-nistp256/384/521 algorithms, ab OpenSSH 5.7).
Aliae mutationes:
- Include directiva ad sshd_config addita est, quae te permittit includere contenta aliorum imaginum in praesenti positione file configurationis (personae globi uti possunt cum nomen tabella denotans);
- Optio "nullo tactus requisito" addita est ssh-keygen, quae necessitatem efficit ut physice confirmet accessum ad signum cum clavem generantis;
- A directiva PubkeyAuthOptions ad sshd_config addita est, quae varias optiones ad publicam clavem authenticam pertinentem componit. In statu, solum vexillum "non-tactu-requiritur" sustentatur ut praesentia corporalis omit- tatur pro signo authenticitatis. Per analogiam, optio "nullo tactus requisita" additae sunt ad fasciculi authentici_clavium;
- Addidit "-O scribe-attestationem=/via" optionem ad ssh-keygen ut permitteret additional FIDO testimonialia testimonialia scribenda quando claves gignentium. OpenSSH his libellis nondum utitur, sed postea adhiberi potest ad comprobandum clavem positam esse in ferramentis creditis;
- In occasus ssh et sshd, nunc possibilis est praestituere modum negotiationis prioritizationis per IPQoS directivum (Inferioris Conatus Per-Hop Morum);
- In ssh, cum valorem "AddKeysToAgent=sic" constituens, si clavis campum commentarium non continet, ad ssh-agentem viam clavis veluti commentarium indicans adicietur. IN'
ssh-keygen et ssh-agente nunc etiam nunc utuntur PKCS #11 pittaciis et X.509 sub- nomen loco bibliothecae itinerarium sicut commentaria in clavem; - Facultatem ad PEM exportandi claves DSA et ECDSA ad ssh-keygen addidit;
- Addidit novum exsecutabile, adiutor ssh-sk, FIDO/U2F tesseram accessum bibliothecae segregandi usus;
- Adiecit "-cum-zlib" construere optionem ad ssh et sshd pro compilatione cum bibliotheca zlib subsidii;
- Secundum exigentiam RFC4253, cautum est de accessu interclusionis propter limites nimios MaxStartups in vexillo in nexu exhibendo cavetur. Ad diagnosticos simpliciores, processus capitis sshd, visibile cum utilitate ps utens, nunc numerum nexuum authenticitatis nunc ostendit et statum limitis MaxStartups;
- In ssh et ssh-agente, cum programmata ad invitationem exhibendum in velo, certa via $SSH_ASKPASS, vexillum cum invitationis genus nunc transmittitur: "confirma" - confirmationem dialogum (sic/no), "nemo - informational message, "blank" - password request;
- Novam subscriptiones digitales operationi "principales invenientes" addidit ad ssh-keygen ad investigandum signatores limam usoris cum certa subscriptione digitali consociata;
- Improve support for sshd process solitudo in Linux utens mechanismum seccomp: inactivare systema IPC vocat, permittens clock_gettime64(), clock_nanosleep_time64 et clock_nanosleep().
Source: opennet.ru