Olti oylik rivojlanishdan keyin reliz , SSH 2.0 va SFTP protokollari orqali ishlash uchun ochiq mijoz va server ilovasi.
Yangi nashrda alohida e'tibor ssh, sshd, ssh-add va ssh-keygen-ga ta'sir qiluvchi zaiflikni bartaraf etishga qaratilgan. Muammo XMSS tipidagi shaxsiy kalitlarni tahlil qilish kodida mavjud va buzg'unchiga butun sonlarni to'ldirishga imkon beradi. Zaiflik ekspluatatsiya qilinishi mumkin deb belgilangan, ammo kam foydalaniladi, chunki XMSS kalitlarini qo'llab-quvvatlash sukut bo'yicha o'chirib qo'yilgan eksperimental xususiyatdir (portativ versiyada XMSS-ni yoqish uchun autoconf-da qurish opsiyasi ham yo'q).
Asosiy o'zgarishlar:
- Ssh, sshd va ssh-agentda kabi yon kanalli hujumlar natijasida RAMda joylashgan shaxsiy kalitni qayta tiklashga to'sqinlik qiluvchi kod. , и . Shaxsiy kalitlar endi xotiraga yuklanganda shifrlanadi va faqat foydalanilganda shifrlanadi, qolgan vaqt davomida shifrlangan holda qoladi. Ushbu yondashuv yordamida shaxsiy kalitni muvaffaqiyatli tiklash uchun tajovuzkor birinchi navbatda asosiy kalitni shifrlash uchun ishlatiladigan 16 KB hajmdagi tasodifiy yaratilgan oraliq kalitni tiklashi kerak, bu zamonaviy hujumlarga xos bo'lgan tiklash xatosi tezligini hisobga olgan holda ehtimoldan yiroq emas;
- В Raqamli imzolarni yaratish va tekshirishning soddalashtirilgan sxemasi uchun tajribaviy yordam qo‘shildi. Raqamli imzolar diskda yoki ssh-agentda saqlangan oddiy SSH kalitlari yordamida yaratilishi mumkin va avtorizatsiyalangan kalitlarga o'xshash narsa yordamida tasdiqlanishi mumkin. . Turli sohalarda (masalan, elektron pochta va fayllar uchun) foydalanilganda chalkashliklarga yo'l qo'ymaslik uchun nomlar maydoni ma'lumotlari raqamli imzoga kiritilgan;
- ssh-keygen sukut bo'yicha RSA kalitiga asoslangan raqamli imzo bilan sertifikatlarni tasdiqlashda (CA rejimida ishlaganda) rsa-sha2-512 algoritmidan foydalanishga o'tkazildi. Bunday sertifikatlar OpenSSH 7.2 dan oldingi versiyalarga mos kelmaydi (moslikni ta'minlash uchun algoritm turini bekor qilish kerak, masalan, "ssh-keygen -t ssh-rsa -s ..." ni chaqirish orqali);
- ssh-da ProxyCommand ifodasi endi "%n" almashtirishni kengaytirishni qo'llab-quvvatlaydi (manzil satrida ko'rsatilgan xost nomi);
- Ssh va sshd uchun shifrlash algoritmlari ro'yxatida siz endi standart algoritmlarni kiritish uchun "^" belgisidan foydalanishingiz mumkin. Masalan, standart ro'yxatga ssh-ed25519 qo'shish uchun siz "HostKeyAlgoritms ^ssh-ed25519" ni belgilashingiz mumkin;
- ssh-keygen shaxsiy kalitdan ochiq kalitni chiqarishda kalitga biriktirilgan izohning chiqishini ta'minlaydi;
- Kalitlarni qidirish operatsiyalarini bajarishda (masalan, “ssh-keygen -vF xost”) ssh-keygen-da “-v” bayrog'idan foydalanish imkoniyati qo'shildi, natijada vizual xost imzosi paydo bo'ladi;
- Foydalanish qobiliyati qo'shildi shaxsiy kalitlarni diskda saqlash uchun muqobil format sifatida. PEM formati sukut bo'yicha foydalanishda davom etmoqda va PKCS8 uchinchi tomon ilovalari bilan muvofiqlikka erishish uchun foydali bo'lishi mumkin.
Manba: opennet.ru