د شپږو میاشتو پراختیا وروسته
په نوې خپرونه کې ځانګړې پاملرنه د هغه زیان له منځه وړل دي چې په ssh، sshd، ssh-add او ssh-keygen اغیزه کوي. ستونزه د XMSS ډول سره د شخصي کیلي پارس کولو لپاره کوډ کې شتون لري او برید کونکي ته اجازه ورکوي چې د انټر فلو حرکت وکړي. زیانمنتیا د ګټې اخیستنې په توګه نښه شوې، مګر لږ کارول کیږي، ځکه چې د XMSS کلیدونو لپاره ملاتړ یو تجربوي ځانګړتیا ده چې د ډیفالټ لخوا غیر فعاله شوې ده (د پورټ ایبل نسخه حتی د XMSS فعالولو لپاره په آٹوکونف کې د جوړونې اختیار نلري).
اصلي بدلونونه:
- په ssh، sshd او ssh-agent کې
زیاته کړه کوډ چې د اړخ چینل بریدونو په پایله کې په RAM کې موقعیت لري د شخصي کیلي بیرته راګرځیدو مخه نیسي ، لکهسپیکټر، میلټډون ,د RowHammer иRAMBleed . شخصي کیلي اوس کوډ شوي دي کله چې په حافظه کې بار شوي او یوازې د کارونې پرمهال کوډ شوي ، پاتې نور وخت کوډ شوي. د دې طریقې سره، په بریالیتوب سره د شخصي کیلي بیرته ترلاسه کولو لپاره، برید کوونکی باید لومړی د 16 KB په اندازې کې په تصادفي توګه تولید شوي منځمهاله کیلي بیرته ترلاسه کړي، چې د اصلي کیلي کوډ کولو لپاره کارول کیږي، کوم چې د عصري بریدونو په څیر د بیا رغونې د غلطۍ کچه احتمال نلري؛ - В
ssh-keygen د ډیجیټل لاسلیکونو رامینځته کولو او تصدیق کولو لپاره د ساده سکیم لپاره تجربوي ملاتړ اضافه شوی. ډیجیټل لاسلیکونه د منظم SSH کیلي په کارولو سره رامینځته کیدی شي چې په ډیسک یا ssh-اجنټ کې زیرمه شوي ، او د مجاز_کیز سره ورته یو څه په کارولو سره تایید کیدی شي.د باوري کیلي لیست . د نوم ځای معلومات په ډیجیټل لاسلیک کې رامینځته شوي ترڅو د ګډوډۍ مخه ونیسي کله چې په بیلابیلو برخو کې کارول کیږي (د مثال په توګه ، د بریښنالیک او فایلونو لپاره)؛ - ssh-keygen د rsa-sha2-512 الګوریتم کارولو لپاره په ډیفالټ بدل شوی کله چې د RSA کیلي پراساس د ډیجیټل لاسلیک سره سندونه تاییدوي (کله چې په CA حالت کې کار کوي). دا ډول سندونه د OpenSSH 7.2 څخه مخکې د ریلیزونو سره مطابقت نلري (د مطابقت ډاډ ترلاسه کولو لپاره، د الګوریتم ډول باید له پامه غورځول شي، د مثال په توګه د "ssh-keygen -t ssh-rsa -s ..." په زنګ وهلو سره)؛
- په ssh کې، د ProxyCommand بیان اوس د "%n" بدیل پراخولو ملاتړ کوي (د کوربه نوم په پته بار کې مشخص شوی)؛
- د ssh او sshd لپاره د کوډ کولو الګوریتمونو لیستونو کې، تاسو اوس کولی شئ د ډیفالټ الګوریتم داخلولو لپاره "^" کرکټر وکاروئ. د مثال په توګه، په ډیفالټ لیست کې د ssh-ed25519 اضافه کولو لپاره، تاسو کولی شئ "HostKeyAlgorithms ^ssh-ed25519" مشخص کړئ؛
- ssh-keygen د کیلي سره تړلي تبصرې محصول چمتو کوي کله چې له شخصي څخه عامه کیلي استخراج کړئ؛
- په ssh-keygen کې د "-v" بیرغ کارولو وړتیا اضافه کړه کله چې د کلیدي لټون عملیات ترسره کول (د مثال په توګه، "ssh-keygen -vF host")، دا مشخص کول چې د بصری کوربه لاسلیک پایله لري؛
- د کارولو وړتیا اضافه کړه
PKCS8 په ډیسک کې د شخصي کیلي ذخیره کولو لپاره د بدیل شکل په توګه. د PEM بڼه د ډیفالټ لخوا کارول کیږي، او PKCS8 ممکن د دریمې ډلې غوښتنلیکونو سره مطابقت ترلاسه کولو لپاره ګټور وي.
سرچینه: opennet.ru