OpenSSH 8.1 റിലീസ്

ആറ് മാസത്തെ വികസനത്തിന് ശേഷം അവതരിപ്പിച്ചു പ്രകാശനം OpenSSH 8.1, SSH 2.0, SFTP പ്രോട്ടോക്കോളുകൾ വഴി പ്രവർത്തിക്കുന്നതിനുള്ള ഒരു ഓപ്പൺ ക്ലയന്റും സെർവർ നടപ്പിലാക്കലും.

ssh, sshd, ssh-add, ssh-keygen എന്നിവയെ ബാധിക്കുന്ന ഒരു അപകടസാധ്യത ഇല്ലാതാക്കുന്നതാണ് പുതിയ പതിപ്പിലെ പ്രത്യേക ശ്രദ്ധ. XMSS തരം ഉപയോഗിച്ച് സ്വകാര്യ കീകൾ പാഴ്‌സുചെയ്യുന്നതിനുള്ള കോഡിലാണ് പ്രശ്‌നം ഉള്ളത് കൂടാതെ ഒരു പൂർണ്ണസംഖ്യ ഓവർഫ്ലോ ട്രിഗർ ചെയ്യാൻ ഒരു ആക്രമണകാരിയെ അനുവദിക്കുന്നു. എക്സ്എംഎസ്എസ് കീകൾക്കുള്ള പിന്തുണ ഡിഫോൾട്ടായി പ്രവർത്തനരഹിതമാക്കിയ ഒരു പരീക്ഷണാത്മക ഫീച്ചറായതിനാൽ, ഈ അപകടസാധ്യത പ്രയോജനപ്പെടുത്താവുന്നതാണെന്ന് അടയാളപ്പെടുത്തിയിരിക്കുന്നു, പക്ഷേ ഉപയോഗശൂന്യമാണ് (പോർട്ടബിൾ പതിപ്പിന് XMSS പ്രവർത്തനക്ഷമമാക്കാൻ autoconf-ൽ ഒരു ബിൽഡ് ഓപ്ഷൻ പോലുമില്ല).

പ്രധാന മാറ്റങ്ങൾ:

• ssh, sshd, ssh-ഏജൻറ് എന്നിവയിൽ കൂട്ടിച്ചേർത്തു സൈഡ്-ചാനൽ ആക്രമണങ്ങളുടെ ഫലമായി റാമിൽ സ്ഥിതിചെയ്യുന്ന ഒരു സ്വകാര്യ കീ വീണ്ടെടുക്കുന്നത് തടയുന്ന കോഡ് സ്പെക്ടർ, മെൽറ്റ്ഡൗൺ, റോഹാമർ и റാംബ്ലീഡ്. മെമ്മറിയിലേക്ക് ലോഡുചെയ്യുമ്പോൾ സ്വകാര്യ കീകൾ ഇപ്പോൾ എൻക്രിപ്റ്റ് ചെയ്യുകയും ഉപയോഗത്തിലായിരിക്കുമ്പോൾ മാത്രം ഡീക്രിപ്റ്റ് ചെയ്യുകയും ചെയ്യുന്നു, ശേഷിക്കുന്ന സമയം എൻക്രിപ്റ്റ് ചെയ്യപ്പെടും. ഈ സമീപനത്തിലൂടെ, പ്രൈവറ്റ് കീ വിജയകരമായി വീണ്ടെടുക്കാൻ, ആക്രമണകാരി ആദ്യം 16 കെബി വലുപ്പമുള്ള ഒരു ക്രമരഹിതമായി ജനറേറ്റ് ചെയ്ത ഇന്റർമീഡിയറ്റ് കീ വീണ്ടെടുക്കണം, ഇത് പ്രധാന കീ എൻക്രിപ്റ്റ് ചെയ്യാൻ ഉപയോഗിക്കുന്നു, ഇത് ആധുനിക ആക്രമണങ്ങളുടെ സാധാരണ വീണ്ടെടുക്കൽ പിശക് നിരക്ക് കണക്കിലെടുക്കാൻ സാധ്യതയില്ല;
• В ssh-keygen ഡിജിറ്റൽ സിഗ്നേച്ചറുകൾ സൃഷ്‌ടിക്കുന്നതിനും പരിശോധിച്ചുറപ്പിക്കുന്നതിനുമുള്ള ഒരു ലളിതവൽക്കരിച്ച സ്കീമിന് പരീക്ഷണാത്മക പിന്തുണ ചേർത്തു. ഡിസ്കിലോ ssh-ഏജന്റിലോ സംഭരിച്ചിരിക്കുന്ന സാധാരണ SSH കീകൾ ഉപയോഗിച്ച് ഡിജിറ്റൽ സിഗ്നേച്ചറുകൾ സൃഷ്ടിക്കാൻ കഴിയും, കൂടാതെ authorized_keys പോലെയുള്ള എന്തെങ്കിലും ഉപയോഗിച്ച് പരിശോധിച്ചുറപ്പിക്കുകയും ചെയ്യാം. സാധുവായ കീകളുടെ പട്ടിക. വ്യത്യസ്ത മേഖലകളിൽ (ഉദാഹരണത്തിന്, ഇമെയിലിനും ഫയലുകൾക്കും) ഉപയോഗിക്കുമ്പോൾ ആശയക്കുഴപ്പം ഒഴിവാക്കുന്നതിനായി നെയിംസ്പേസ് വിവരങ്ങൾ ഡിജിറ്റൽ സിഗ്നേച്ചറിൽ നിർമ്മിച്ചിരിക്കുന്നു;
• ഒരു RSA കീ അടിസ്ഥാനമാക്കി (CA മോഡിൽ പ്രവർത്തിക്കുമ്പോൾ) ഡിജിറ്റൽ സിഗ്നേച്ചർ ഉപയോഗിച്ച് സർട്ടിഫിക്കറ്റുകൾ സാധൂകരിക്കുമ്പോൾ rsa-sha2-512 അൽഗോരിതം ഉപയോഗിക്കുന്നതിന് ssh-keygen സ്ഥിരസ്ഥിതിയായി സ്വിച്ചുചെയ്‌തു. അത്തരം സർട്ടിഫിക്കറ്റുകൾ OpenSSH 7.2-ന് മുമ്പുള്ള റിലീസുകളുമായി പൊരുത്തപ്പെടുന്നില്ല (അനുയോജ്യത ഉറപ്പാക്കാൻ, അൽഗോരിതം തരം അസാധുവാക്കണം, ഉദാഹരണത്തിന് "ssh-keygen -t ssh-rsa -s ..." എന്ന് വിളിക്കുക);
• ssh-ൽ, പ്രോക്സികമാൻഡ് എക്സ്പ്രഷൻ ഇപ്പോൾ "%n" സബ്സ്റ്റിറ്റ്യൂഷന്റെ വിപുലീകരണത്തെ പിന്തുണയ്ക്കുന്നു (വിലാസ ബാറിൽ വ്യക്തമാക്കിയിരിക്കുന്ന ഹോസ്റ്റ്നാമം);
• ssh, sshd എന്നിവയ്‌ക്കായുള്ള എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങളുടെ ലിസ്റ്റുകളിൽ, ഡിഫോൾട്ട് അൽഗോരിതങ്ങൾ തിരുകാൻ നിങ്ങൾക്ക് ഇപ്പോൾ "^" പ്രതീകം ഉപയോഗിക്കാം. ഉദാഹരണത്തിന്, സ്ഥിരസ്ഥിതി പട്ടികയിലേക്ക് ssh-ed25519 ചേർക്കുന്നതിന്, നിങ്ങൾക്ക് "HostKeyAlgorithms ^ssh-ed25519" വ്യക്തമാക്കാം;
• ഒരു സ്വകാര്യ കീയിൽ നിന്ന് ഒരു പൊതു കീ എക്‌സ്‌ട്രാക്‌റ്റ് ചെയ്യുമ്പോൾ കീയിൽ ഘടിപ്പിച്ചിരിക്കുന്ന ഒരു കമന്റിന്റെ ഔട്ട്‌പുട്ട് ssh-keygen നൽകുന്നു;
• കീ ലുക്ക്അപ്പ് പ്രവർത്തനങ്ങൾ നടത്തുമ്പോൾ ssh-keygen-ൽ "-v" ഫ്ലാഗ് ഉപയോഗിക്കാനുള്ള കഴിവ് ചേർത്തു (ഉദാഹരണത്തിന്, "ssh-keygen -vF ഹോസ്റ്റ്"), ഏത് വിഷ്വൽ ഹോസ്റ്റ് സിഗ്നേച്ചറിന് കാരണമാകുമെന്ന് വ്യക്തമാക്കുന്നു;
• ഉപയോഗിക്കാനുള്ള കഴിവ് ചേർത്തു PKCS8 ഡിസ്കിൽ സ്വകാര്യ കീകൾ സംഭരിക്കുന്നതിനുള്ള ഒരു ഇതര ഫോർമാറ്റായി. സ്ഥിരസ്ഥിതിയായി PEM ഫോർമാറ്റ് ഉപയോഗിക്കുന്നത് തുടരുന്നു, കൂടാതെ മൂന്നാം കക്ഷി ആപ്ലിക്കേഷനുകളുമായി അനുയോജ്യത കൈവരിക്കുന്നതിന് PKCS8 ഉപയോഗപ്രദമാകും.

അവലംബം: opennet.ru