Издание на OpenSSH 8.1

По шест месеци развој презентирани ослободување OpenSSH 8.1, отворена имплементација на клиент и сервер за работа преку протоколите SSH 2.0 и SFTP.

Посебно внимание во новото издание е елиминацијата на ранливоста што влијае на ssh, sshd, ssh-add и ssh-keygen. Проблемот е присутен во кодот за парсирање на приватни клучеви со тип XMSS и му овозможува на напаѓачот да активира прелевање на цел број. Ранливоста е означена како експлоатибилна, но од мала корист, бидејќи поддршката за XMSS клучеви е експериментална карактеристика што е стандардно оневозможена (преносливата верзија нема ни опција за изградба во автоматско конфигурирање за да овозможи XMSS).

Главни промени:

• Во ssh, sshd и ssh-agent додаде код кој го спречува враќањето на приватен клуч лоциран во RAM меморијата како резултат на напади од страничниот канал, како на пр. Спектер, Мелдаун, РоуХамер и РАМБлид. Приватните клучеви сега се шифрираат кога се вчитуваат во меморијата и се дешифрираат само кога се користат, а останатиот дел од времето остануваат шифрирани. Со овој пристап, за успешно враќање на приватниот клуч, напаѓачот мора прво да поврати случајно генериран среден клуч со големина од 16 KB, кој се користи за шифрирање на главниот клуч, што е малку веројатно со оглед на стапката на грешка за враќање типична за современите напади;
• В ssh-keygen Додадена е експериментална поддршка за поедноставена шема за создавање и потврдување дигитални потписи. Дигиталните потписи може да се креираат со користење на редовни SSH клучеви зачувани на дискот или во ssh-агентот и да се потврдат со помош на нешто слично на authorized_keys листа на валидни клучеви. Информациите за именскиот простор се вградени во дигиталниот потпис за да се избегне забуна кога се користи во различни области (на пример, за е-пошта и датотеки);
• ssh-keygen е стандардно префрлен за да го користи алгоритмот rsa-sha2-512 при валидација на сертификати со дигитален потпис базиран на клуч RSA (кога работи во CA режим). Таквите сертификати не се компатибилни со изданија пред OpenSSH 7.2 (за да се обезбеди компатибилност, типот на алгоритам мора да се отфрли, на пример со повикување „ssh-keygen -t ssh-rsa -s ...“);
• Во ssh, изразот ProxyCommand сега поддржува проширување на замената „%n“ (името на домаќинот наведено во лентата за адреси);
• Во списоците со алгоритми за шифрирање за ssh и sshd, сега можете да го користите знакот „^“ за да ги вметнете стандардните алгоритми. На пример, за да додадете ssh-ed25519 на стандардната листа, можете да наведете "HostKeyAlgorithms ^ssh-ed25519";
• ssh-keygen обезбедува излез од коментар прикачен на клучот при извлекување јавен клуч од приватен;
• Додадена е можност за користење на знамето „-v“ во ssh-keygen при вршење операции за пребарување на клучеви (на пример, „ssh-keygen -vF домаќин“), наведувајќи што резултира со визуелен потпис на домаќинот;
• Додадена е можност за користење PKCS8 како алтернативен формат за складирање на приватни клучеви на дискот. Форматот PEM продолжува да се користи стандардно, а PKCS8 може да биде корисен за постигнување компатибилност со апликации од трети страни.

Извор: opennet.ru