Објавено е изданието на OpenSSH 9.5, отворена имплементација на клиент и сервер за работа со користење на протоколите SSH 2.0 и SFTP.
Главни промени:
- ssh-keygen стандардно вклучува генерирање клучеви засновано на дигиталниот потпис Ed25519, развиен од Даниел Бернштајн и стандардизиран во RFC 8709. Забележано е дека клучевите Ed25519 се поддржани од објавувањето на OpenSSH 6.5 (2014) и се попогодни поради нивната мала големина. Во исто време, дигиталните потписи Ed25519 имаат повисоко ниво на безбедност од ECDSA и DSA и демонстрираат многу голема брзина на верификација и создавање потпис. Отпорот на хакирање за Ed25519 е околу 2^128 (во просек, за напад на Ed25519 ќе бидат потребни 2^140 битни операции), што одговара на отпорноста на алгоритмите како NIST P-256 и RSA со големина на клуч од 375 бајти или 128-битна блок шифра. Ed25519, исто така, не е подложен на проблеми со хаш судири и не е чувствителен на напади за тајмирање на кешот и напади од страничниот канал.
- Услужната алатка ssh додаде заштита од напади на страничните канали кои ги анализираат одложувањата помеѓу притискањата на тастатурата за да го рекреираат влезот. Ваквите напади се засноваат на фактот дека доцнењата помеѓу тастатурата при пишување зависат од локацијата на копчињата на тастатурата (на пример, одговорот при пишување на буквата „F“ е побрз отколку кога пишувате „Q“ или „X“, бидејќи се потребни помалку движења со прстите за притискање). SSH беше подложен на овие напади бидејќи испраќаше информации за внесениот знак во посебен пакет веднаш по секое притискање на тастатурата, така што доцнењата помеѓу испраќањето пакети беа во корелација со одложувањата помеѓу притискањата на тастатурата.
За да ги скрие особеностите на интерактивното внесување во сообраќајот, ssh спроведува испраќање податоци не како што се напишани, туку само во фиксни интервали (20 ms стандардно). Покрај тоа, за да се збунат напаѓачите, фиктивните кликови се испраќаат во случајни моменти по испраќањето вистински податоци. За да ја конфигурирате безбедноста, параметарот „ObscureKeystrokeTiming“ е додаден на ssh_config.
- ssh и sshd ја поддржуваат екстензијата на SSH протоколот „ping@openssh.com“, која додава нови типови на пораки, SSH2_MSG_PING и SSH2_MSG_PONG, за периодично испраќање пакети во редовни интервали. Оваа екстензија е неопходна за претходно споменатата заштита од напади на странични канали.
- sshd дозволува отфрлање на директивите на Сибсистем преку блоковите Match.
- Во sshd, директивата за Подсистем го смени ракувањето со наводниците, кои сега се зачувани за команди и аргументи, што може да доведе до компатибилност со многу ретки конфигурации.
Извор: opennet.ru
