Altı aylık geliştirmeden sonra serbest , SSH 2.0 ve SFTP protokolleri aracılığıyla çalışmaya yönelik açık bir istemci ve sunucu uygulaması.
Yeni sürümde özellikle dikkat edilen husus, ssh, sshd, ssh-add ve ssh-keygen'i etkileyen bir güvenlik açığının ortadan kaldırılmasıdır. Sorun, XMSS tipindeki özel anahtarları ayrıştırmaya yönelik kodda mevcuttur ve bir saldırganın tamsayı taşmasını tetiklemesine izin verir. Güvenlik açığından yararlanılabilir olarak işaretlenmiştir, ancak XMSS anahtarları desteği varsayılan olarak devre dışı bırakılan deneysel bir özellik olduğundan (taşınabilir sürümde XMSS'yi etkinleştirmek için autoconf'ta bir oluşturma seçeneği bile yoktur) çok az kullanışlıdır.
Ana değişiklikler:
- Ssh, sshd ve ssh-agent'ta Yan kanal saldırıları sonucunda RAM'de bulunan özel anahtarın kurtarılmasını engelleyen kod, örneğin , и . Özel anahtarlar artık belleğe yüklendiğinde şifreleniyor ve yalnızca kullanım sırasında şifresi çözülüyor, geri kalan zamanda şifreli kalıyor. Bu yaklaşımla, özel anahtarı başarılı bir şekilde kurtarmak için, saldırganın öncelikle ana anahtarı şifrelemek için kullanılan, rastgele oluşturulmuş 16 KB boyutunda bir ara anahtarı kurtarması gerekir; modern saldırıların tipik kurtarma hata oranı göz önüne alındığında bu pek olası değildir;
- В Dijital imzaların oluşturulmasına ve doğrulanmasına yönelik basitleştirilmiş bir şema için deneysel destek eklendi. Dijital imzalar, diskte veya ssh-agent'ta saklanan normal SSH anahtarları kullanılarak oluşturulabilir ve yetkili_anahtarlara benzer bir şey kullanılarak doğrulanabilir . Ad alanı bilgileri, farklı alanlarda (örneğin, e-posta ve dosyalar için) kullanıldığında karışıklığı önlemek için dijital imzaya yerleştirilmiştir;
- ssh-keygen, RSA anahtarına dayalı dijital imzalı sertifikaları doğrularken (CA modunda çalışırken) varsayılan olarak rsa-sha2-512 algoritmasını kullanacak şekilde değiştirilmiştir. Bu tür sertifikalar OpenSSH 7.2'den önceki sürümlerle uyumlu değildir (uyumluluğun sağlanması için algoritma türünün örneğin "ssh-keygen -t ssh-rsa -s ..." çağrılarak geçersiz kılınması gerekir);
- Ssh'de ProxyCommand ifadesi artık "%n" değişikliğinin (adres çubuğunda belirtilen ana bilgisayar adı) genişletilmesini destekliyor;
- Ssh ve sshd için şifreleme algoritmaları listelerinde artık varsayılan algoritmaları eklemek için "^" karakterini kullanabilirsiniz. Örneğin, ssh-ed25519'u varsayılan listeye eklemek için "HostKeyAlgorithms ^ssh-ed25519";
- ssh-keygen, özel bir anahtardan genel bir anahtar çıkarırken anahtara eklenen bir yorumun çıktısını sağlar;
- Anahtar arama işlemlerini gerçekleştirirken ssh-keygen'e "-v" bayrağını kullanma yeteneği eklendi (örneğin, "ssh-keygen -vF ana bilgisayar"), hangisinin görsel ana bilgisayar imzasıyla sonuçlanacağını belirtir;
- Kullanma yeteneği eklendi özel anahtarları diskte depolamak için alternatif bir format olarak. PEM formatı varsayılan olarak kullanılmaya devam etmektedir ve PKCS8, üçüncü taraf uygulamalarla uyumluluğun sağlanmasında yararlı olabilir.
Kaynak: opennet.ru