Baada ya miezi sita ya maendeleo kutolewa , mteja wazi na utekelezaji wa seva kwa kufanya kazi kupitia itifaki za SSH 2.0 na SFTP.
Uangalifu maalum katika toleo jipya ni uondoaji wa athari inayoathiri ssh, sshd, ssh-add na ssh-keygen. Tatizo lipo katika msimbo wa kuchanganua funguo za faragha kwa aina ya XMSS na huruhusu mvamizi kuanzisha wingi kamili. Athari hii imetiwa alama kuwa inaweza kunyonywa, lakini haitumiki sana, kwa kuwa utumiaji wa funguo za XMSS ni kipengele cha majaribio ambacho kimezimwa kwa chaguo-msingi (toleo linalobebeka halina hata chaguo la kujenga katika autoconf ili kuwezesha XMSS).
Mabadiliko kuu:
- Katika ssh, sshd na wakala wa ssh msimbo unaozuia urejeshaji wa ufunguo wa faragha ulio kwenye RAM kutokana na mashambulizi ya idhaa ya kando, kama vile , ΠΈ . Funguo za faragha sasa husimbwa kwa njia fiche zinapopakiwa kwenye kumbukumbu na kusimbwa tu zinapotumika, zikisalia zikiwa zimesimbwa kwa muda uliosalia. Kwa mbinu hii, ili kurejesha ufunguo wa kibinafsi kwa mafanikio, mshambuliaji lazima kwanza apate ufunguo wa kati uliozalishwa kwa nasibu wa 16 KB kwa ukubwa, unaotumiwa kusimba ufunguo kuu, ambao hauwezekani kutokana na kiwango cha makosa ya uokoaji kawaida ya mashambulizi ya kisasa;
- Π Umeongeza usaidizi wa majaribio kwa mpango uliorahisishwa wa kuunda na kuthibitisha sahihi za kidijitali. Saini za kidijitali zinaweza kuundwa kwa kutumia vitufe vya kawaida vya SSH vilivyohifadhiwa kwenye diski au katika wakala wa ssh, na kuthibitishwa kwa kutumia kitu sawa na authorized_keys. . Maelezo ya nafasi ya majina yanajumuishwa katika saini ya dijiti ili kuzuia mkanganyiko inapotumiwa katika maeneo tofauti (kwa mfano, kwa barua pepe na faili);
- ssh-keygen imebadilishwa kwa chaguo-msingi ili kutumia algoriti ya rsa-sha2-512 wakati wa kuthibitisha vyeti kwa sahihi ya dijiti kulingana na ufunguo wa RSA (unapofanya kazi katika hali ya CA). Vyeti kama hivyo havioani na matoleo kabla ya OpenSSH 7.2 (ili kuhakikisha upatanifu, aina ya algoriti lazima ibatilike, kwa mfano kwa kuita "ssh-keygen -t ssh-rsa -s ...");
- Katika ssh, usemi wa ProxyCommand sasa unaauni upanuzi wa kibadala cha "%n" (jina la mpangishi lililobainishwa kwenye upau wa anwani);
- Katika orodha za algoriti za usimbaji fiche za ssh na sshd, sasa unaweza kutumia herufi "^" kuingiza algoriti chaguo-msingi. Kwa mfano, ili kuongeza ssh-ed25519 kwenye orodha chaguo-msingi, unaweza kubainisha "HostKeyAlgorithms ^ssh-ed25519";
- ssh-keygen hutoa matokeo ya maoni yaliyoambatishwa kwa ufunguo wakati wa kutoa ufunguo wa umma kutoka kwa faragha;
- Imeongeza uwezo wa kutumia alama ya "-v" katika ssh-keygen wakati wa kutekeleza utendakazi muhimu wa kutafuta (kwa mfano, "ssh-keygen -vF host"), ikibainisha ambayo husababisha saini ya mpangishaji inayoonekana;
- Imeongeza uwezo wa kutumia kama muundo mbadala wa kuhifadhi funguo za kibinafsi kwenye diski. Umbizo la PEM linaendelea kutumiwa kwa chaguomsingi, na PKCS8 inaweza kuwa muhimu kwa kufikia uoanifu na programu za wahusika wengine.
Chanzo: opennet.ru