ఆరు నెలల అభివృద్ధి తర్వాత విడుదల , SSH 2.0 మరియు SFTP ప్రోటోకాల్ల ద్వారా పని చేయడానికి ఓపెన్ క్లయింట్ మరియు సర్వర్ అమలు.
కొత్త విడుదలలో ప్రత్యేక శ్రద్ధ ssh, sshd, ssh-add మరియు ssh-keygenలను ప్రభావితం చేసే దుర్బలత్వాన్ని తొలగించడం. XMSS రకంతో ప్రైవేట్ కీలను అన్వయించే కోడ్లో సమస్య ఉంది మరియు పూర్ణాంక ఓవర్ఫ్లోను ట్రిగ్గర్ చేయడానికి దాడి చేసేవారిని అనుమతిస్తుంది. XMSS కీలకు సపోర్ట్ డిఫాల్ట్గా డిసేబుల్ చేయబడిన ప్రయోగాత్మక ఫీచర్ అయినందున దుర్బలత్వం దోపిడీ చేయదగినదిగా గుర్తించబడింది, కానీ చాలా తక్కువ ఉపయోగం ఉంది (పోర్టబుల్ వెర్షన్కి XMSSని ఎనేబుల్ చేయడానికి autoconfలో బిల్డ్ ఆప్షన్ కూడా లేదు).
ప్రధాన మార్పులు:
- ssh, sshd మరియు ssh-ఏజెంట్లో సైడ్-ఛానల్ దాడుల ఫలితంగా RAMలో ఉన్న ప్రైవేట్ కీని పునరుద్ధరించడాన్ని నిరోధించే కోడ్, ఉదాహరణకు , и . ప్రైవేట్ కీలు ఇప్పుడు మెమరీలోకి లోడ్ అయినప్పుడు గుప్తీకరించబడతాయి మరియు ఉపయోగంలో ఉన్నప్పుడు మాత్రమే డీక్రిప్ట్ చేయబడతాయి, మిగిలిన సమయంలో గుప్తీకరించబడతాయి. ఈ విధానంతో, ప్రైవేట్ కీని విజయవంతంగా పునరుద్ధరించడానికి, దాడి చేసే వ్యక్తి ముందుగా 16 KB పరిమాణంలో యాదృచ్ఛికంగా రూపొందించబడిన ఇంటర్మీడియట్ కీని పునరుద్ధరించాలి, ఇది ప్రధాన కీని ఎన్క్రిప్ట్ చేయడానికి ఉపయోగించబడుతుంది, ఇది ఆధునిక దాడుల యొక్క విలక్షణమైన రికవరీ లోపం రేటును బట్టి అసంభవం;
- В డిజిటల్ సంతకాలను సృష్టించడం మరియు ధృవీకరించడం కోసం సరళీకృత పథకం కోసం ప్రయోగాత్మక మద్దతు జోడించబడింది. డిస్క్లో లేదా ssh-ఏజెంట్లో నిల్వ చేయబడిన సాధారణ SSH కీలను ఉపయోగించి డిజిటల్ సంతకాలను సృష్టించవచ్చు మరియు ఆథరైజ్డ్_కీల మాదిరిగానే ఏదైనా ఉపయోగించి ధృవీకరించవచ్చు. . వివిధ ప్రాంతాల్లో (ఉదాహరణకు, ఇమెయిల్ మరియు ఫైల్ల కోసం) ఉపయోగించినప్పుడు గందరగోళాన్ని నివారించడానికి నేమ్స్పేస్ సమాచారం డిజిటల్ సంతకంలో నిర్మించబడింది;
- RSA కీ (CA మోడ్లో పని చేస్తున్నప్పుడు) ఆధారంగా డిజిటల్ సంతకంతో ధృవీకరణ పత్రాలను ధృవీకరించేటప్పుడు ssh-keygen rsa-sha2-512 అల్గారిథమ్ని ఉపయోగించడానికి డిఫాల్ట్గా మార్చబడింది. ఇటువంటి ధృవపత్రాలు OpenSSH 7.2కి ముందు విడుదలలకు అనుకూలంగా లేవు (అనుకూలతను నిర్ధారించడానికి, అల్గోరిథం రకాన్ని తప్పనిసరిగా భర్తీ చేయాలి, ఉదాహరణకు "ssh-keygen -t ssh-rsa -s ..." కాల్ చేయడం ద్వారా);
- sshలో, ProxyCommand వ్యక్తీకరణ ఇప్పుడు "%n" ప్రత్యామ్నాయం (అడ్రస్ బార్లో పేర్కొన్న హోస్ట్ పేరు) విస్తరణకు మద్దతు ఇస్తుంది;
- ssh మరియు sshd కోసం ఎన్క్రిప్షన్ అల్గారిథమ్ల జాబితాలలో, మీరు ఇప్పుడు డిఫాల్ట్ అల్గారిథమ్లను చొప్పించడానికి "^" అక్షరాన్ని ఉపయోగించవచ్చు. ఉదాహరణకు, డిఫాల్ట్ జాబితాకు ssh-ed25519ని జోడించడానికి, మీరు "HostKeyAlgorithms ^ssh-ed25519"ని పేర్కొనవచ్చు;
- ssh-keygen ఒక ప్రైవేట్ నుండి పబ్లిక్ కీని సంగ్రహిస్తున్నప్పుడు కీకి జోడించబడిన వ్యాఖ్య యొక్క అవుట్పుట్ను అందిస్తుంది;
- కీ లుక్అప్ ఆపరేషన్లను (ఉదాహరణకు, “ssh-keygen -vF హోస్ట్”) చేస్తున్నప్పుడు ssh-keygenలో “-v” ఫ్లాగ్ను ఉపయోగించగల సామర్థ్యం జోడించబడింది, దీని ఫలితంగా దృశ్య హోస్ట్ సంతకం ఏర్పడుతుంది;
- ఉపయోగించగల సామర్థ్యం జోడించబడింది డిస్క్లో ప్రైవేట్ కీలను నిల్వ చేయడానికి ప్రత్యామ్నాయ ఫార్మాట్గా. PEM ఫార్మాట్ డిఫాల్ట్గా ఉపయోగించడం కొనసాగుతుంది మరియు థర్డ్-పార్టీ అప్లికేషన్లతో అనుకూలతను సాధించడానికి PKCS8 ఉపయోగకరంగా ఉండవచ్చు.
మూలం: opennet.ru