После шест месеци развоја издање , имплементација отвореног клијента и сервера за рад преко ССХ 2.0 и СФТП протокола.
Посебна пажња у новом издању је елиминација рањивости која утиче на ссх, ссхд, ссх-адд и ссх-кеиген. Проблем је присутан у коду за рашчлањивање приватних кључева са типом КСМСС и омогућава нападачу да покрене преливање целог броја. Рањивост је означена као искориштава, али од мале користи, пошто је подршка за КСМСС кључеве експериментална функција која је подразумевано онемогућена (преносива верзија чак нема ни опцију изградње у аутоцонф-у за омогућавање КСМСС-а).
Главне промене:
- У ссх, ссхд и ссх-агент код који спречава опоравак приватног кључа који се налази у РАМ-у као резултат напада са стране канала, као што је , и . Приватни кључеви су сада шифровани када се учитају у меморију и дешифрују само када су у употреби, остајући шифровани остатак времена. Са овим приступом, да би успешно повратио приватни кључ, нападач мора прво да поврати насумично генерисани међукључ величине 16 КБ, који се користи за шифровање главног кључа, што је мало вероватно с обзиром на стопу грешака при опоравку типичну за модерне нападе;
- В Додата експериментална подршка за поједностављену шему за креирање и верификацију дигиталних потписа. Дигитални потписи се могу креирати коришћењем обичних ССХ кључева ускладиштених на диску или у ссх-агенту, и верификовани коришћењем нечег сличног ауторизованим кључевима . Информације о именском простору уграђене су у дигитални потпис како би се избегла забуна када се користе у различитим областима (на пример, за е-пошту и датотеке);
- ссх-кеиген је подразумевано пребачен да користи алгоритам рса-сха2-512 приликом валидације сертификата са дигиталним потписом на основу РСА кључа (када ради у ЦА режиму). Такви сертификати нису компатибилни са издањима пре ОпенССХ 7.2 (да би се осигурала компатибилност, тип алгоритма мора бити замењен, на пример позивањем "ссх-кеиген -т ссх-рса -с ...");
- У ссх, израз ПрокиЦомманд сада подржава проширење замене „%н“ (име хоста наведено у адресној траци);
- На листама алгоритама за шифровање за ссх и ссхд, сада можете да користите знак "^" да бисте уметнули подразумеване алгоритме. На пример, да бисте додали ссх-ед25519 на подразумевану листу, можете да наведете „ХостКеиАлгоритхмс ^ссх-ед25519“;
- ссх-кеиген обезбеђује излаз коментара приложеног кључу када се извлачи јавни кључ из приватног;
- Додата је могућност коришћења ознаке „-в“ у ссх-кеиген-у када се обављају операције тражења кључа (на пример, „ссх-кеиген -вФ хост“), наводећи шта резултира визуелним потписом хоста;
- Додата могућност коришћења као алтернативни формат за чување приватних кључева на диску. ПЕМ формат наставља да се користи подразумевано, а ПКЦС8 може бити користан за постизање компатибилности са апликацијама трећих страна.
Извор: опеннет.ру