FIDO/U8.2F ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨਾਂ ਲਈ ਸਮਰਥਨ ਦੇ ਨਾਲ OpenSSH 2 ਦੀ ਰਿਲੀਜ਼

ਵਿਕਾਸ ਦੇ ਚਾਰ ਮਹੀਨਿਆਂ ਬਾਅਦ ਪੇਸ਼ ਕੀਤਾ ਜਾਰੀ ਓਪਨ ਐਸਐਸਐਚ 8.2, SSH 2.0 ਅਤੇ SFTP ਪ੍ਰੋਟੋਕੋਲ ਦੁਆਰਾ ਕੰਮ ਕਰਨ ਲਈ ਇੱਕ ਖੁੱਲਾ ਕਲਾਇੰਟ ਅਤੇ ਸਰਵਰ ਲਾਗੂ ਕਰਨਾ।

OpenSSH 8.2 ਰੀਲੀਜ਼ ਵਿੱਚ ਇੱਕ ਮੁੱਖ ਸੁਧਾਰ ਪ੍ਰੋਟੋਕੋਲ ਦਾ ਸਮਰਥਨ ਕਰਨ ਵਾਲੇ ਡਿਵਾਈਸਾਂ ਨਾਲ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣੀਕਰਨ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਯੋਗਤਾ ਸੀ। U2F, ਗਠਜੋੜ ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ FIDOU2F ਉਪਭੋਗਤਾ ਦੀ ਭੌਤਿਕ ਮੌਜੂਦਗੀ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਘੱਟ-ਕੀਮਤ ਵਾਲੇ ਹਾਰਡਵੇਅਰ ਟੋਕਨ ਬਣਾਉਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਉਹਨਾਂ ਨਾਲ USB, ਬਲੂਟੁੱਥ, ਜਾਂ NFC ਰਾਹੀਂ ਇੰਟਰੈਕਟ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਡਿਵਾਈਸਾਂ ਨੂੰ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਸਾਧਨ ਵਜੋਂ ਉਤਸ਼ਾਹਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਪਹਿਲਾਂ ਹੀ ਪ੍ਰਮੁੱਖ ਬ੍ਰਾਊਜ਼ਰਾਂ ਦੁਆਰਾ ਸਮਰਥਤ ਹਨ, ਅਤੇ ਯੂਬੀਕੋ, ਫੀਸ਼ੀਅਨ, ਥੇਟਿਸ ਅਤੇ ਕੇਨਸਿੰਗਟਨ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਨਿਰਮਾਤਾਵਾਂ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਉਪਭੋਗਤਾ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਵਾਲੇ ਡਿਵਾਈਸਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ, OpenSSH ਨੇ ਨਵੇਂ ਕੁੰਜੀ ਕਿਸਮਾਂ, "ecdsa-sk" ਅਤੇ "ed25519-sk" ਸ਼ਾਮਲ ਕੀਤੇ ਹਨ, ਜੋ SHA-256 ਹੈਸ਼ ਦੇ ਨਾਲ ECDSA ਅਤੇ Ed25519 ਡਿਜੀਟਲ ਦਸਤਖਤ ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਟੋਕਨਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਦੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਇੱਕ ਇੰਟਰਮੀਡੀਏਟ ਲਾਇਬ੍ਰੇਰੀ ਵਿੱਚ ਤਬਦੀਲ ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਿ PKCS#11 ਸਹਾਇਤਾ ਲਾਇਬ੍ਰੇਰੀ ਦੇ ਸਮਾਨ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਲਾਇਬ੍ਰੇਰੀ ਦੇ ਆਲੇ ਦੁਆਲੇ ਇੱਕ ਰੈਪਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਵੱਲੋਂ libido2, ਜੋ USB ਉੱਤੇ ਟੋਕਨਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਦੇ ਸਾਧਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ (FIDO U2F/CTAP 1 ਅਤੇ FIDO 2.0/CTAP 2 ਪ੍ਰੋਟੋਕੋਲ ਸਮਰਥਿਤ ਹਨ)। libsk-libfido2 ਇੰਟਰਮੀਡੀਏਟ ਲਾਇਬ੍ਰੇਰੀ, ਜੋ OpenSSH ਡਿਵੈਲਪਰਾਂ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ, ਸ਼ਾਮਲ ਹਨ libfido2 ਦੀ ਮੁੱਖ ਰਚਨਾ ਵਿੱਚ, ਅਤੇ ਨਾਲ ਹੀ HID ਡਰਾਈਵਰ ਓਪਨਬੀਐਸਡੀ ਲਈ।

ਇੱਕ ਕੁੰਜੀ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਅਤੇ ਤਿਆਰ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਸੈਟਿੰਗਾਂ ਵਿੱਚ "SecurityKeyProvider" ਪੈਰਾਮੀਟਰ ਨਿਰਧਾਰਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਜਾਂ SSH_SK_PROVIDER ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ ਸੈੱਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਬਾਹਰੀ ਲਾਇਬ੍ਰੇਰੀ libsk-libfido2.so (EXport SSH_SK_PROVIDER=/path/to/libsk-libfido2.so) ਦਾ ਮਾਰਗ ਨਿਰਧਾਰਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। OpenSSH ਨੂੰ ਵਿਚਕਾਰਲੀ ਲਾਇਬ੍ਰੇਰੀ (--with-security-key-builtin) ਲਈ ਬਿਲਟ-ਇਨ ਸਹਾਇਤਾ ਨਾਲ ਬਣਾਇਆ ਜਾ ਸਕਦਾ ਹੈ; ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਤੁਹਾਨੂੰ "SecurityKeyProvider=internal" ਪੈਰਾਮੀਟਰ ਸੈੱਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
ਅੱਗੇ, "ssh-keygen -t ecdsa-sk" ਚਲਾਓ ਜਾਂ, ਜੇਕਰ ਕੁੰਜੀਆਂ ਪਹਿਲਾਂ ਹੀ ਬਣਾਈਆਂ ਅਤੇ ਸੰਰਚਿਤ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ, ਤਾਂ "ssh" ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਰਵਰ ਨਾਲ ਜੁੜੋ। ਜਦੋਂ ਤੁਸੀਂ ssh-keygen ਚਲਾਉਂਦੇ ਹੋ, ਤਾਂ ਤਿਆਰ ਕੀਤਾ ਕੁੰਜੀ ਜੋੜਾ "~/.ssh/id_ecdsa_sk" ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਵੇਗਾ ਅਤੇ ਇਸਨੂੰ ਹੋਰ ਕੁੰਜੀਆਂ ਵਾਂਗ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ।

ਪਬਲਿਕ ਕੁੰਜੀ (id_ecdsa_sk.pub) ਨੂੰ ਸਰਵਰ 'ਤੇ authorized_keys ਫਾਈਲ ਵਿੱਚ ਕਾਪੀ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਸਰਵਰ ਸਿਰਫ਼ ਡਿਜੀਟਲ ਦਸਤਖਤ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਟੋਕਨ ਇੰਟਰੈਕਸ਼ਨ ਕਲਾਇੰਟ 'ਤੇ ਹੁੰਦਾ ਹੈ (libsk-libfido2 ਨੂੰ ਸਰਵਰ 'ਤੇ ਸਥਾਪਤ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ, ਪਰ ਸਰਵਰ ਨੂੰ "ecdsa-sk" ਕੁੰਜੀ ਕਿਸਮ ਦਾ ਸਮਰਥਨ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ)। ਤਿਆਰ ਕੀਤੀ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ (id_ecdsa_sk) ਅਸਲ ਵਿੱਚ ਇੱਕ ਕੁੰਜੀ ਵਰਣਨਕਰਤਾ ਹੈ ਜੋ U2F ਟੋਕਨ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਗੁਪਤ ਕ੍ਰਮ ਨਾਲ ਜੋੜਨ 'ਤੇ ਹੀ ਇੱਕ ਅਸਲ ਕੁੰਜੀ ਬਣਾਉਂਦੀ ਹੈ। ਜੇਕਰ ਕੋਈ ਹਮਲਾਵਰ id_ecdsa_sk ਕੁੰਜੀ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ, ਤਾਂ ਉਹਨਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ਹਾਰਡਵੇਅਰ ਟੋਕਨ ਤੱਕ ਪਹੁੰਚ ਦੀ ਵੀ ਲੋੜ ਹੋਵੇਗੀ, ਜਿਸ ਤੋਂ ਬਿਨਾਂ id_ecdsa_sk ਫਾਈਲ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਬੇਕਾਰ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਡਿਫਾਲਟ ਤੌਰ 'ਤੇ, ਸਾਰੇ ਕੁੰਜੀ ਕਾਰਜਾਂ (ਜਨਰੇਸ਼ਨ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਦੋਵੇਂ) ਲਈ ਉਪਭੋਗਤਾ ਦੀ ਭੌਤਿਕ ਮੌਜੂਦਗੀ ਦੀ ਸਥਾਨਕ ਪੁਸ਼ਟੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਜਿਵੇਂ ਕਿ ਟੋਕਨ 'ਤੇ ਇੱਕ ਸੈਂਸਰ ਨੂੰ ਛੂਹਣਾ, ਜਿਸ ਨਾਲ ਜੁੜੇ ਟੋਕਨ ਵਾਲੇ ਸਿਸਟਮਾਂ 'ਤੇ ਰਿਮੋਟ ਹਮਲੇ ਕਰਨਾ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਦੀ ਇੱਕ ਵਾਧੂ ਪਰਤ ਦੇ ਤੌਰ 'ਤੇ, ssh-keygen ਸਟਾਰਟਅੱਪ ਦੌਰਾਨ ਕੁੰਜੀ ਫਾਈਲ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਇੱਕ ਪਾਸਵਰਡ ਵੀ ਸੈੱਟ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

OpenSSH ਦੇ ਨਵੇਂ ਸੰਸਕਰਣ ਨੇ SHA-1 ਹੈਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਐਲਗੋਰਿਦਮ ਦੇ ਆਉਣ ਵਾਲੇ ਨਾਪਸੰਦਗੀ ਦਾ ਐਲਾਨ ਵੀ ਕੀਤਾ ਕਿਉਂਕਿ ਵਾਧਾ ਇੱਕ ਦਿੱਤੇ ਅਗੇਤਰ ਦੇ ਨਾਲ ਟੱਕਰ ਦੇ ਹਮਲਿਆਂ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ (ਟੱਕਰ ਦੀ ਚੋਣ ਕਰਨ ਦੀ ਲਾਗਤ ਲਗਭਗ 45 ਹਜ਼ਾਰ ਡਾਲਰ ਹੈ)। ਆਗਾਮੀ ਰੀਲੀਜ਼ਾਂ ਵਿੱਚੋਂ ਇੱਕ ਵਿੱਚ, ਉਹ ਜਨਤਕ ਕੁੰਜੀ ਡਿਜੀਟਲ ਹਸਤਾਖਰ ਐਲਗੋਰਿਦਮ "ssh-rsa" ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਯੋਗਤਾ ਨੂੰ ਮੂਲ ਰੂਪ ਵਿੱਚ ਅਸਮਰੱਥ ਬਣਾਉਣ ਦੀ ਯੋਜਨਾ ਬਣਾਉਂਦੇ ਹਨ, ਜਿਸਦਾ SSH ਪ੍ਰੋਟੋਕੋਲ ਲਈ ਮੂਲ RFC ਵਿੱਚ ਜ਼ਿਕਰ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਅਭਿਆਸ ਵਿੱਚ ਵਿਆਪਕ ਰਹਿੰਦਾ ਹੈ (ਵਰਤੋਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਤੁਹਾਡੇ ਸਿਸਟਮਾਂ ਵਿੱਚ ssh-rsa ਦਾ, ਤੁਸੀਂ "-oHostKeyAlgorithms=-ssh-rsa" ਵਿਕਲਪ ਨਾਲ ssh ਰਾਹੀਂ ਜੁੜਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਸਕਦੇ ਹੋ।

OpenSSH ਵਿੱਚ ਨਵੇਂ ਐਲਗੋਰਿਦਮ ਵਿੱਚ ਤਬਦੀਲੀ ਨੂੰ ਸੁਚਾਰੂ ਬਣਾਉਣ ਲਈ, ਇੱਕ ਭਵਿੱਖ ਵਿੱਚ ਰੀਲੀਜ਼ ਵਿੱਚ UpdateHostKeys ਸੈਟਿੰਗ ਨੂੰ ਡਿਫੌਲਟ ਰੂਪ ਵਿੱਚ ਸਮਰੱਥ ਕੀਤਾ ਜਾਵੇਗਾ, ਜੋ ਆਪਣੇ ਆਪ ਗਾਹਕਾਂ ਨੂੰ ਵਧੇਰੇ ਭਰੋਸੇਮੰਦ ਐਲਗੋਰਿਦਮ ਵਿੱਚ ਮਾਈਗ੍ਰੇਟ ਕਰੇਗਾ। ਮਾਈਗ੍ਰੇਸ਼ਨ ਲਈ ਸਿਫ਼ਾਰਿਸ਼ ਕੀਤੇ ਐਲਗੋਰਿਦਮ ਵਿੱਚ RFC2 RSA SHA-256 'ਤੇ ਆਧਾਰਿਤ rsa-sha512-8332/2 (OpenSSH 7.2 ਤੋਂ ਸਮਰਥਿਤ ਅਤੇ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ), ssh-ed25519 (OpenSSH 6.5 ਤੋਂ ਸਮਰਥਿਤ) ਅਤੇ ecdsa-sha2-nistp256/384 ਅਧਾਰਿਤ RFC521 ECDSA 'ਤੇ (OpenSSH 5656 ਤੋਂ ਸਮਰਥਿਤ)।

OpenSSH 8.2 ਅਜੇ ਵੀ "ssh-rsa" ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਨੈਕਟ ਕਰਨ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਪਰ ਇਸ ਐਲਗੋਰਿਦਮ ਨੂੰ CASignatureAlgorithms ਸੂਚੀ ਵਿੱਚੋਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਜੋ ਨਵੇਂ ਸਰਟੀਫਿਕੇਟਾਂ ਨੂੰ ਡਿਜੀਟਲੀ ਦਸਤਖਤ ਕਰਨ ਲਈ ਆਗਿਆ ਦਿੱਤੇ ਗਏ ਐਲਗੋਰਿਦਮ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਇਸੇ ਤਰ੍ਹਾਂ, diffie-hellman-group14-sha1 ਐਲਗੋਰਿਦਮ ਨੂੰ ਸਮਰਥਿਤ ਡਿਫਾਲਟ ਕੀ ਐਕਸਚੇਂਜ ਐਲਗੋਰਿਦਮ ਵਿੱਚੋਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਇਹ ਨੋਟ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿ ਸਰਟੀਫਿਕੇਟਾਂ ਵਿੱਚ SHA-1 ਦੀ ਵਰਤੋਂ ਇੱਕ ਵਾਧੂ ਜੋਖਮ ਰੱਖਦੀ ਹੈ, ਕਿਉਂਕਿ ਇੱਕ ਹਮਲਾਵਰ ਕੋਲ ਮੌਜੂਦਾ ਸਰਟੀਫਿਕੇਟ ਲਈ ਟੱਕਰ ਲੱਭਣ ਲਈ ਅਸੀਮਤ ਸਮਾਂ ਹੁੰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਹੋਸਟ ਕੁੰਜੀਆਂ 'ਤੇ ਹਮਲੇ ਕਨੈਕਸ਼ਨ ਟਾਈਮਆਉਟ (LoginGraceTime) ਦੁਆਰਾ ਸੀਮਤ ਹੁੰਦੇ ਹਨ।

ssh-keygen ਚਲਾਉਂਦੇ ਸਮੇਂ, rsa-sha2-512 ਐਲਗੋਰਿਦਮ, ਜੋ ਕਿ OpenSSH 7.2 ਤੋਂ ਸਮਰਥਿਤ ਹੈ, ਹੁਣ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਪੁਰਾਣੇ OpenSSH ਰੀਲੀਜ਼ਾਂ ਨੂੰ ਚਲਾਉਣ ਵਾਲੇ ਸਿਸਟਮਾਂ 'ਤੇ OpenSSH 8.2-ਸਾਈਨ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਪ੍ਰਕਿਰਿਆ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਸਮੇਂ ਅਨੁਕੂਲਤਾ ਸਮੱਸਿਆਵਾਂ ਪੈਦਾ ਕਰ ਸਕਦਾ ਹੈ (ਇਸ ਮੁੱਦੇ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ, ਤੁਸੀਂ ਦਸਤਖਤ ਤਿਆਰ ਕਰਦੇ ਸਮੇਂ "ssh-keygen -t ssh-rsa" ਨੂੰ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਨਿਰਧਾਰਤ ਕਰ ਸਕਦੇ ਹੋ, ਜਾਂ OpenSSH 5.7 ਤੋਂ ਸਮਰਥਿਤ ecdsa-sha2-nistp256/384/521 ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ)।

ਹੋਰ ਬਦਲਾਅ:

• Sshd_config ਵਿੱਚ Include ਡਾਇਰੈਕਟਿਵ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਹੋਰ ਫਾਈਲਾਂ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਸੰਰਚਨਾ ਫਾਈਲ ਦੀ ਮੌਜੂਦਾ ਸਥਿਤੀ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ (ਫਾਈਲ ਨਾਮ ਨਿਰਧਾਰਤ ਕਰਦੇ ਸਮੇਂ ਗਲੋਬ ਮਾਸਕ ਵਰਤੇ ਜਾ ਸਕਦੇ ਹਨ);
• "no-touch-required" ਵਿਕਲਪ ssh-keygen ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਕੁੰਜੀ ਤਿਆਰ ਕਰਦੇ ਸਮੇਂ ਟੋਕਨ ਤੱਕ ਪਹੁੰਚ ਦੀ ਭੌਤਿਕ ਪੁਸ਼ਟੀ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਅਯੋਗ ਕਰਦਾ ਹੈ;
• PubkeyAuthOptions ਡਾਇਰੈਕਟਿਵ ਨੂੰ sshd_config ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ ਪਬਲਿਕ ਕੁੰਜੀ ਪ੍ਰਮਾਣੀਕਰਨ ਨਾਲ ਸਬੰਧਤ ਵੱਖ-ਵੱਖ ਵਿਕਲਪਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਦਾ ਹੈ। ਵਰਤਮਾਨ ਵਿੱਚ, ਸਿਰਫ "no-touch-required" ਫਲੈਗ ਸਮਰਥਿਤ ਹੈ, ਜੋ ਟੋਕਨ ਪ੍ਰਮਾਣੀਕਰਨ ਦੌਰਾਨ ਭੌਤਿਕ ਮੌਜੂਦਗੀ ਜਾਂਚ ਨੂੰ ਛੱਡਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇਸੇ ਤਰ੍ਹਾਂ, "no-touch-required" ਵਿਕਲਪ ਨੂੰ authorized_keys ਫਾਈਲ ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ।
• "-O write-attestation=/path" ਵਿਕਲਪ ssh-keygen ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਕੁੰਜੀਆਂ ਤਿਆਰ ਕਰਦੇ ਸਮੇਂ ਵਾਧੂ FIDO ਤਸਦੀਕ ਸਰਟੀਫਿਕੇਟ ਲਿਖੇ ਜਾ ਸਕਦੇ ਹਨ। OpenSSH ਵਰਤਮਾਨ ਵਿੱਚ ਇਹਨਾਂ ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਪਰ ਇਹਨਾਂ ਨੂੰ ਭਵਿੱਖ ਵਿੱਚ ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ ਕਿ ਕੁੰਜੀ ਭਰੋਸੇਯੋਗ ਹਾਰਡਵੇਅਰ ਸਟੋਰੇਜ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀ ਗਈ ਹੈ।
• ssh ਅਤੇ sshd ਸੈਟਿੰਗਾਂ ਵਿੱਚ, ਹੁਣ IPQoS ਨਿਰਦੇਸ਼ਾਂ ਰਾਹੀਂ ਟ੍ਰੈਫਿਕ ਤਰਜੀਹ ਮੋਡ ਸੈੱਟ ਕਰਨਾ ਸੰਭਵ ਹੈ। ਐਲਈ ਡੀਐਸਸੀਪੀ (ਘੱਟ-ਕੋਸ਼ਿਸ਼ ਪ੍ਰਤੀ-ਹੌਪ ਵਿਵਹਾਰ);
• ssh ਵਿੱਚ, "AddKeysToAgent=yes" ਮੁੱਲ ਸੈੱਟ ਕਰਦੇ ਸਮੇਂ, ਜੇਕਰ ਕੁੰਜੀ ਵਿੱਚ ਕੋਈ ਟਿੱਪਣੀ ਖੇਤਰ ਨਹੀਂ ਹੈ, ਤਾਂ ਇਸਨੂੰ ssh-ਏਜੰਟ ਵਿੱਚ ਟਿੱਪਣੀ ਵਜੋਂ ਦਰਸਾਈ ਗਈ ਕੁੰਜੀ ਦੇ ਮਾਰਗ ਦੇ ਨਾਲ ਜੋੜਿਆ ਜਾਵੇਗਾ।
  ssh-keygen ਅਤੇ ssh-agent ਹੁਣ ਲਾਇਬ੍ਰੇਰੀ ਮਾਰਗ ਦੀ ਬਜਾਏ ਕੁੰਜੀ ਵਿੱਚ ਟਿੱਪਣੀਆਂ ਵਜੋਂ PKCS#11 ਲੇਬਲ ਅਤੇ X.509 ਵਿਸ਼ਾ ਨਾਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ;
• DSA ਅਤੇ ECDSA ਕੁੰਜੀਆਂ ਲਈ PEM ਨੂੰ ssh-keygen ਵਿੱਚ ਨਿਰਯਾਤ ਕਰਨ ਦੀ ਯੋਗਤਾ ਜੋੜੀ ਗਈ ਹੈ;
• ਇੱਕ ਨਵੀਂ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲ ssh-sk-helper ਜੋੜੀ ਗਈ, ਜੋ ਕਿ FIDO/U2F ਟੋਕਨਾਂ ਤੱਕ ਲਾਇਬ੍ਰੇਰੀ ਪਹੁੰਚ ਨੂੰ ਅਲੱਗ ਕਰਨ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਹੈ;
• zlib ਲਾਇਬ੍ਰੇਰੀ ਸਹਾਇਤਾ ਨਾਲ ਕੰਪਾਇਲ ਕਰਨ ਲਈ ssh ਅਤੇ sshd ਵਿੱਚ "--with-zlib" ਬਿਲਡ ਵਿਕਲਪ ਜੋੜਿਆ ਗਿਆ ਹੈ;
• RFC 4253 ਦੇ ਅਨੁਸਾਰ, MaxStartups ਸੀਮਾ ਤੋਂ ਵੱਧ ਹੋਣ ਕਾਰਨ ਪਹੁੰਚ ਨੂੰ ਬਲੌਕ ਕੀਤੇ ਜਾਣ ਬਾਰੇ ਇੱਕ ਚੇਤਾਵਨੀ ਹੁਣ ਕਨੈਕਸ਼ਨ ਬੈਨਰ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤੀ ਗਈ ਹੈ। ਡਾਇਗਨੌਸਟਿਕਸ ਨੂੰ ਸਰਲ ਬਣਾਉਣ ਲਈ, sshd ਪ੍ਰਕਿਰਿਆ ਸਿਰਲੇਖ, ਜੋ ps ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਹੁਣ ਮੌਜੂਦਾ ਪ੍ਰਮਾਣਿਤ ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਸੰਖਿਆ ਅਤੇ MaxStartups ਸੀਮਾ ਸਥਿਤੀ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ।
• ssh ਅਤੇ ssh-ਏਜੰਟ ਵਿੱਚ, ਜਦੋਂ $SSH_ASKPASS ਰਾਹੀਂ ਦਰਸਾਏ ਗਏ ਸਕ੍ਰੀਨ 'ਤੇ ਸੱਦਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਇੱਕ ਪ੍ਰੋਗਰਾਮ ਨੂੰ ਕਾਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਸੱਦਾ ਕਿਸਮ ਵਾਲਾ ਇੱਕ ਫਲੈਗ ਹੁਣ ਵਾਧੂ ਪਾਸ ਕੀਤਾ ਜਾਂਦਾ ਹੈ: “ਪੁਸ਼ਟੀ ਕਰੋ” — ਪੁਸ਼ਟੀਕਰਨ ਡਾਇਲਾਗ (ਹਾਂ/ਨਹੀਂ), “ਕੋਈ ਨਹੀਂ” — ਜਾਣਕਾਰੀ ਵਾਲਾ ਸੁਨੇਹਾ, “ਖਾਲੀ” — ਪਾਸਵਰਡ ਬੇਨਤੀ;
• ਇੱਕ ਨਵਾਂ ਡਿਜੀਟਲ ਦਸਤਖਤ ਕਾਰਜ, "find-principals", ssh-keygen ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ ਤਾਂ ਜੋ ਨਿਰਧਾਰਤ ਡਿਜੀਟਲ ਦਸਤਖਤ ਨਾਲ ਜੁੜੇ ਉਪਭੋਗਤਾ ਲਈ allowed-signers ਫਾਈਲ ਦੀ ਖੋਜ ਕੀਤੀ ਜਾ ਸਕੇ;
• Улучшена поддержка изоляции процесса sshd в Linux при помощи механизма seccomp: запрещены системные вызовы IPC, разрешены clock_gettime64(), clock_nanosleep_time64 и clock_nanosleep().

ਸਰੋਤ: opennet.ru