Po šestih mesecih razvoja sprostitev , odprta odjemalska in strežniška izvedba za delo prek protokolov SSH 2.0 in SFTP.
Posebna pozornost v novi izdaji je odprava ranljivosti, ki vpliva na ssh, sshd, ssh-add in ssh-keygen. Težava je prisotna v kodi za razčlenjevanje zasebnih ključev s tipom XMSS in omogoča napadalcu, da sproži celoštevilsko prekoračitev. Ranljivost je označena kot izkoriščljiva, a malo uporabna, saj je podpora za ključe XMSS eksperimentalna funkcija, ki je privzeto onemogočena (prenosna različica nima niti možnosti gradnje v autoconf, ki bi omogočila XMSS).
Večje spremembe:
- V ssh, sshd in ssh-agent koda, ki preprečuje obnovitev zasebnega ključa, ki se nahaja v RAM-u, zaradi napadov na stranskem kanalu, kot je npr. , и . Zasebni ključi so zdaj šifrirani, ko so naloženi v pomnilnik, in dešifrirani le, ko so v uporabi, preostali čas pa ostanejo šifrirani. Pri tem pristopu mora napadalec za uspešno obnovitev zasebnega ključa najprej obnoviti naključno generiran vmesni ključ velikosti 16 KB, ki se uporablja za šifriranje glavnega ključa, kar je malo verjetno glede na stopnjo napak pri obnovitvi, značilno za sodobne napade;
- В Dodana eksperimentalna podpora za poenostavljeno shemo za ustvarjanje in preverjanje digitalnih podpisov. Digitalne podpise je mogoče ustvariti z običajnimi ključi SSH, shranjenimi na disku ali v agentu ssh, in preveriti z uporabo nečesa podobnega avtoriziranim_ključem . Informacije o imenskem prostoru so vgrajene v digitalni podpis, da se prepreči zmeda pri uporabi na različnih področjih (na primer za e-pošto in datoteke);
- ssh-keygen je bil privzeto preklopljen na uporabo algoritma rsa-sha2-512 pri preverjanju potrdil z digitalnim podpisom na podlagi ključa RSA (pri delu v načinu CA). Takšna potrdila niso združljiva z izdajami pred OpenSSH 7.2 (za zagotovitev združljivosti je treba preglasiti vrsto algoritma, na primer s klicem "ssh-keygen -t ssh-rsa -s ...");
- V ssh izraz ProxyCommand zdaj podpira razširitev zamenjave "%n" (ime gostitelja, navedeno v naslovni vrstici);
- Na seznamih algoritmov šifriranja za ssh in sshd lahko zdaj uporabite znak »^« za vstavljanje privzetih algoritmov. Če želite na primer dodati ssh-ed25519 na privzeti seznam, lahko podate "HostKeyAlgorithms ^ssh-ed25519";
- ssh-keygen zagotavlja izpis komentarja, priloženega ključu, ko ekstrahira javni ključ iz zasebnega;
- Dodana možnost uporabe zastavice »-v« v ssh-keygen pri izvajanju operacij iskanja ključev (na primer »ssh-keygen -vF host«), ki določa, kateri rezultat je vizualni podpis gostitelja;
- Dodana možnost uporabe kot alternativni format za shranjevanje zasebnih ključev na disku. Format PEM se še naprej uporablja privzeto, PKCS8 pa je lahko koristen za doseganje združljivosti z aplikacijami tretjih oseb.
Vir: opennet.ru