ProHoster > блог > интернет вести > ОпенССХ 8.4 издање

ОпенССХ 8.4 издање

После четири месеца развоја представљени издање ОпенССХ 8.4, имплементације отвореног клијента и сервера за рад користећи ССХ 2.0 и СФТП протоколе.

Главне промене:

  • Безбедносне промене:
    • У ссх-агенту, када се користе ФИДО кључеви који нису креирани за ССХ аутентификацију (ИД кључа не почиње стрингом „ссх:“), сада проверава да ли ће порука бити потписана коришћењем метода које се користе у ССХ протоколу. Промена неће дозволити да ссх-агент буде преусмерен на удаљене хостове који имају ФИДО кључеве како би блокирали могућност коришћења ових кључева за генерисање потписа за захтеве за веб аутентификацију (обрнути случај, када прегледач може да потпише ССХ захтев, у почетку је искључен због употребе префикса „ссх:“ у идентификатору кључа).
    • Генерисање резидентног кључа ссх-кеиген-а укључује подршку за додатак цредПротецт описан у спецификацији ФИДО 2.1, који обезбеђује додатну заштиту за кључеве захтевањем ПИН-а пре извођења било које операције која би могла да доведе до издвајања резидентног кључа из токена.
  • Потенцијално кварне промене компатибилности:
    • Да бисте подржали ФИДО/У2Ф, препоручује се коришћење библиотеке либфидо2 најмање верзије 1.5.0. Могућност коришћења старијих издања је делимично имплементирана, али у овом случају функције као што су резидентни кључеви, ПИН захтев и повезивање више токена неће бити доступне.
    • У ссх-кеиген-у, подаци о аутентификацији неопходни за верификацију потврђујућих дигиталних потписа су додати формату информација за потврду, опционо сачуване приликом генерисања ФИДО кључа.
    • АПИ који се користи када ОпенССХ комуницира са слојем за приступ ФИДО токенима је промењен.
    • Приликом прављења преносиве верзије ОпенССХ-а, аутомаке је сада неопходан за генерисање скрипте за конфигурисање и пратећих датотека за изградњу (ако се гради од објављеног кода тар датотеке, регенерисање конфигурације није потребно).
  • Додата подршка за ФИДО кључеве који захтевају ПИН верификацију у ссх и ссх-кеиген. Да бисте генерисали кључеве са ПИН-ом, опција „верифи-рекуиред“ је додата у ссх-кеиген. Ако се користе такви кључеви, пре него што изврши операцију креирања потписа, од корисника се тражи да потврди своје радње уношењем ПИН кода.
  • У ссхд-у, опција „верифи-рекуиред“ је имплементирана у поставци аутхоризед_кеис, која захтева коришћење могућности за проверу присуства корисника током операција са токеном. ФИДО стандард пружа неколико опција за такву верификацију, али тренутно ОпенССХ подржава само верификацију засновану на ПИН-у.
  • ссхд и ссх-кеиген су додали подршку за верификацију дигиталних потписа који су у складу са ФИДО Вебаутхн стандардом, који омогућава да се ФИДО кључеви користе у веб претраживачима.
  • У ссх у подешавањима ЦертифицатеФиле,
    ЦонтролПатх, ИдентитиАгент, ИдентитиФиле, ЛоцалФорвард и
    РемотеФорвард дозвољава замену вредности из променљивих окружења наведених у формату „${ЕНВ}“.
  • ссх и ссх-агент су додали подршку за променљиву окружења $ССХ_АСКПАСС_РЕКУИРЕ, која се може користити за омогућавање или онемогућавање позива ссх-аскпасс.
  • У ссх у ссх_цонфиг у директиви АддКеисТоАгент, додата је могућност ограничавања периода важења кључа. Након што наведено ограничење истекне, кључеви се аутоматски бришу из ссх-агента.
  • У сцп-у и сфтп-у, користећи ознаку "-А", сада можете експлицитно дозволити преусмеравање на сцп и сфтп користећи ссх-агент (преусмеравање је подразумевано онемогућено).
  • Додата подршка за '%к' замену у ссх подешавањима, која специфицира име кључа хоста. Ова функција се може користити за дистрибуцију кључева у засебне датотеке (на пример, „УсерКновнХостсФиле ~/.ссх/кновн_хостс.д/%к“).
  • Дозволите употребу операције "ссх-адд -д -" за читање кључева са стдин-а који треба да се обришу.
  • У ссхд-у, почетак и крај процеса смањења везе се одражавају у евиденцији, регулисаном помоћу параметра МакСтартупс.

ОпенССХ програмери су такође подсетили на предстојеће укидање алгоритама који користе СХА-1 хешове због унапређење ефикасност напада колизије са датим префиксом (трошак одабира колизије се процењује на приближно 45 хиљада долара). У једном од наредних издања планирају да подразумевано онемогуће могућност коришћења алгоритма за дигитални потпис јавног кључа „ссх-рса“, који се помиње у оригиналном РФЦ-у за ССХ протокол и остаје широко распрострањен у пракси (да би се тестирала употреба ссх-рса у вашим системима, можете покушати да се повежете преко ссх са опцијом „-оХостКеиАлгоритхмс=-ссх-рса“).

Да би се изгладио прелазак на нове алгоритме у ОпенССХ-у, следеће издање ће подразумевано омогућити поставку УпдатеХостКеис, која ће аутоматски мигрирати клијенте на поузданије алгоритме. Препоручени алгоритми за миграцију укључују рса-сха2-256/512 заснован на РФЦ8332 РСА СХА-2 (подржан од ОпенССХ 7.2 и користи се подразумевано), ссх-ед25519 (подржан од ОпенССХ 6.5) и заснован на ецдса-сха2-нистп256/384 на РФЦ521 ЕЦДСА (подржано од ОпенССХ 5656).

Извор: опеннет.ру

Додај коментар