Pas gjashtë muajsh zhvillimi lirimin , një implementim i hapur i klientit dhe serverit për të punuar nëpërmjet protokolleve SSH 2.0 dhe SFTP.
Vëmendje e veçantë në versionin e ri është eliminimi i një cenueshmërie që prek ssh, sshd, ssh-add dhe ssh-keygen. Problemi është i pranishëm në kodin për analizimin e çelësave privatë me llojin XMSS dhe lejon një sulmues të shkaktojë një tejkalim të numrit të plotë. Dobësia është shënuar si e shfrytëzueshme, por me pak përdorim, pasi mbështetja për çelësat XMSS është një veçori eksperimentale që është çaktivizuar si parazgjedhje (versioni portativ nuk ka as një opsion ndërtimi në autoconf për të aktivizuar XMSS).
Ndryshimet kryesore:
- Në ssh, sshd dhe ssh-agent kodi që parandalon rikuperimin e një çelësi privat të vendosur në RAM si rezultat i sulmeve të kanaleve anësore, si p.sh. , и . Çelësat privatë tani kodohen kur ngarkohen në memorie dhe deshifrohen vetëm kur përdoren, duke mbetur të koduar pjesën tjetër të kohës. Me këtë qasje, për të rikuperuar me sukses çelësin privat, sulmuesi duhet së pari të rikuperojë një çelës të ndërmjetëm të krijuar rastësisht prej 16 KB në madhësi, i përdorur për të enkriptuar çelësin kryesor, gjë që nuk ka gjasa duke pasur parasysh shkallën e gabimit të rikuperimit tipik për sulmet moderne;
- В U shtua mbështetje eksperimentale për një skemë të thjeshtuar për krijimin dhe verifikimin e nënshkrimeve dixhitale. Nënshkrimet dixhitale mund të krijohen duke përdorur çelësat e rregullt SSH të ruajtur në disk ose në agjentin ssh, dhe të verifikohen duke përdorur diçka të ngjashme me çelësat e autorizuar . Informacioni i hapësirës së emrave është i integruar në nënshkrimin dixhital për të shmangur konfuzionin kur përdoret në zona të ndryshme (për shembull, për email dhe skedarë);
- ssh-keygen është ndërruar si parazgjedhje për të përdorur algoritmin rsa-sha2-512 kur vërtetohen certifikatat me një nënshkrim dixhital bazuar në një çelës RSA (kur punoni në modalitetin CA). Certifikata të tilla nuk janë të pajtueshme me lëshimet para OpenSSH 7.2 (për të siguruar përputhshmërinë, lloji i algoritmit duhet të anashkalohet, për shembull duke thirrur "ssh-keygen -t ssh-rsa -s ...");
- Në ssh, shprehja ProxyCommand tani mbështet zgjerimin e zëvendësimit "%n" (emri i hostit të specifikuar në shiritin e adresave);
- Në listat e algoritmeve të kriptimit për ssh dhe sshd, tani mund të përdorni karakterin "^" për të futur algoritmet e paracaktuar. Për shembull, për të shtuar ssh-ed25519 në listën e paracaktuar, mund të specifikoni "HostKeyAlgorithms ^ssh-ed25519";
- ssh-keygen siguron daljen e një komenti të bashkangjitur në çelës kur nxjerr një çelës publik nga ai privat;
- U shtua aftësia për të përdorur flamurin "-v" në ssh-keygen gjatë kryerjes së operacioneve të kërkimit të çelësave (për shembull, "ssh-keygen -vF host"), duke specifikuar se cili rezulton në një nënshkrim vizual të hostit;
- U shtua aftësia për t'u përdorur si një format alternativ për ruajtjen e çelësave privatë në disk. Formati PEM vazhdon të përdoret si parazgjedhje dhe PKCS8 mund të jetë i dobishëm për arritjen e përputhshmërisë me aplikacionet e palëve të treta.
Burimi: opennet.ru