ProHoster > Blog > berita internet > Keluaran OpenSSH 9.5

Keluaran OpenSSH 9.5

Keluaran OpenSSH 9.5 telah diterbitkan, pelaksanaan terbuka klien dan pelayan untuk bekerja menggunakan protokol SSH 2.0 dan SFTP.

Perubahan utama:

  • Secara lalai, ssh-keygen mendayakan penjanaan kunci berdasarkan tandatangan digital Ed25519 yang dibangunkan oleh Daniel Bernstein dan diseragamkan dalam RFC 8709. Kunci Ed25519 telah disokong sejak OpenSSH 6.5 (2014) dan lebih mudah kerana saiznya yang kecil. Tandatangan digital Ed25519 menawarkan tahap keselamatan yang lebih tinggi daripada ECDSA dan DSA, dan menunjukkan pengesahan yang sangat tinggi dan kelajuan penciptaan tandatangan. Rintangan serangan untuk Ed25519 adalah kira-kira 2^128 (secara purata, serangan terhadap Ed25519 memerlukan operasi 2^140 bit), yang sepadan dengan kekuatan algoritma seperti NIST P-256 dan RSA dengan saiz kunci 375 bait, atau sifir blok 128-bit. Ed25519 juga kebal terhadap perlanggaran cincang, serangan pemasaan cache dan serangan saluran sisi.
  • Utiliti ssh telah dikemas kini dengan perlindungan terhadap serangan saluran sisi yang menganalisis kelewatan antara ketukan kekunci pada papan kekunci untuk membina semula input. Serangan ini mengeksploitasi fakta bahawa kelewatan antara ketukan kekunci semasa menaip bergantung pada susun atur kekunci pada papan kekunci (contohnya, menaip huruf "F" adalah lebih pantas daripada menaip "Q" atau "X" kerana ia memerlukan kurang pergerakan jari). SSH terdedah kepada serangan ini kerana ia menghantar maklumat tentang aksara yang ditaip dalam paket berasingan sejurus selepas setiap ketukan kekunci, jadi kelewatan antara penghantaran paket berkorelasi dengan kelewatan antara ketukan kekunci.

    Untuk menyembunyikan nuansa input interaktif dalam trafik SSH, data dihantar hanya pada selang masa tetap (20 ms secara lalai) dan bukannya semasa anda menaip. Tambahan pula, untuk mengelirukan penyerang, ketukan kekunci palsu dihantar secara rawak selepas data sebenar dihantar. Untuk mengkonfigurasi perlindungan, parameter "ObscureKeystrokeTiming" telah ditambahkan pada ssh_config.

  • ssh dan sshd menyokong sambungan protokol SSH "ping@openssh.com", yang menambah jenis mesej baharu, SSH2_MSG_PING dan SSH2_MSG_PONG, untuk menghantar paket secara berkala pada selang masa yang tetap. Sambungan ini diperlukan untuk perlindungan yang disebutkan di atas terhadap serangan saluran sisi.
  • sshd membenarkan arahan Sybsystem mengatasi melalui blok Padanan.
  • Dalam sshd, arahan Subsistem telah mengubah pengendalian petikan, yang kini dikekalkan untuk arahan dan hujah, yang mungkin membawa kepada isu keserasian dengan konfigurasi yang sangat jarang berlaku.

Sumber: opennet.ru

Beli pengehosan yang boleh dipercayai untuk tapak dengan perlindungan DDoS, pelayan VPS VDS 🔥 Beli pengehosan laman web yang boleh dipercayai dengan perlindungan DDoS, pelayan VPS VDS | ProHoster