Po šešių mėnesių vystymosi paleisti , atviras kliento ir serverio diegimas, skirtas darbui naudojant SSH 2.0 ir SFTP protokolus.
Ypatingas dėmesys naujajame leidime yra pažeidžiamumo, turinčio įtakos ssh, sshd, ssh-add ir ssh-keygen, pašalinimui. Problema yra privačių raktų analizės su XMSS tipu kode ir leidžia užpuolikui suaktyvinti sveikojo skaičiaus perpildymą. Pažeidžiamumas pažymėtas kaip išnaudojamas, bet mažai naudingas, nes XMSS raktų palaikymas yra eksperimentinė funkcija, kuri pagal numatytuosius nustatymus yra išjungta (nešiojamoje versijoje net nėra kūrimo parinkties autoconf, kad būtų galima įjungti XMSS).
Pagrindiniai pakeitimai:
- ssh, sshd ir ssh-agent kodas, kuris neleidžia atkurti privataus rakto, esančio RAM atmintyje dėl šoninio kanalo atakų, pvz., , и . Privatūs raktai dabar užšifruojami, kai įkeliami į atmintį, ir iššifruojami tik tada, kai naudojami, likusį laiką lieka užšifruoti. Taikydamas šį metodą, norėdamas sėkmingai atkurti privatųjį raktą, užpuolikas pirmiausia turi atkurti atsitiktinai sugeneruotą 16 KB dydžio tarpinį raktą, naudojamą pagrindiniam raktui užšifruoti, o tai mažai tikėtina, atsižvelgiant į šiuolaikinėms atakoms būdingą atkūrimo klaidų dažnį;
- В Pridėtas eksperimentinis supaprastintos skaitmeninių parašų kūrimo ir tikrinimo schemos palaikymas. Skaitmeninius parašus galima sukurti naudojant įprastus SSH raktus, saugomus diske arba ssh agente, ir patikrinti naudojant kažką panašaus į authorised_keys . Vardų erdvės informacija yra įtraukta į skaitmeninį parašą, kad būtų išvengta painiavos, kai naudojama įvairiose srityse (pavyzdžiui, el. paštui ir failams);
- ssh-keygen buvo perjungtas pagal numatytuosius nustatymus, kad būtų naudojamas rsa-sha2-512 algoritmas tikrinant sertifikatus su skaitmeniniu parašu, pagrįstu RSA raktu (kai dirbama CA režimu). Tokie sertifikatai nesuderinami su ankstesniais OpenSSH 7.2 leidimais (siekiant užtikrinti suderinamumą, algoritmo tipas turi būti perrašytas, pavyzdžiui, iškviečiant "ssh-keygen -t ssh-rsa -s ...");
- Ssh, ProxyCommand išraiška dabar palaiko "%n" pakeitimo išplėtimą (adreso juostoje nurodytas pagrindinio kompiuterio pavadinimas);
- Ssh ir sshd šifravimo algoritmų sąrašuose dabar galite naudoti simbolį „^“, kad įterptumėte numatytuosius algoritmus. Pavyzdžiui, norėdami įtraukti ssh-ed25519 į numatytąjį sąrašą, galite nurodyti "HostKeyAlgorithms ^ssh-ed25519";
- ssh-keygen suteikia prie rakto pridėto komentaro išvestį, kai išimamas viešasis raktas iš privataus;
- Pridėta galimybė naudoti „-v“ vėliavėlę ssh-keygen atliekant raktų paieškos operacijas (pvz., „ssh-keygen -vF host“), nurodant, dėl ko gaunamas vaizdinis pagrindinio kompiuterio parašas;
- Pridėta galimybė naudotis kaip alternatyvų formatą privačių raktų saugojimui diske. PEM formatas ir toliau naudojamas pagal numatytuosius nustatymus, o PKCS8 gali būti naudingas siekiant suderinamumo su trečiųjų šalių programomis.
Šaltinis: opennet.ru