מעלדונג פון OpenSSH 8.1

נאָך זעקס חדשים פון אַנטוויקלונג דערלאנגט מעלדונג OpenSSH 8.1, אַן אָפֿן קליענט און סערווער ימפּלאַמענטיישאַן פֿאַר ארבעטן דורך די SSH 2.0 און SFTP פּראָטאָקאָלס.

ספּעציעלע ופמערקזאַמקייט אין די נייַע מעלדונג איז די ילימאַניישאַן פון אַ וואַלנעראַביליטי וואָס אַפעקץ ssh, sshd, ssh-add און ssh-keygen. דער פּראָבלעם איז פאָרשטעלן אין די קאָד פֿאַר פּאַרסינג פּריוואַט שליסלען מיט די XMSS טיפּ און אַלאַוז אַ אַטאַקער צו צינגל אַ ינטאַדזשער לויפן. די וואַלנעראַביליטי איז אנגעצייכנט ווי עקספּלויטאַבאַל, אָבער פון קליין נוצן, זינט שטיצן פֿאַר XMSS שליסלען איז אַן יקספּערמענאַל שטריך וואָס איז פאַרקריפּלט דורך פעליקייַט (די פּאָרטאַטיוו ווערסיע האט נישט אפילו אַ בויען אָפּציע אין אַוטאָקאָנף צו געבן XMSS).

הויפּט ענדערונגען:

• אין ssh, sshd און ssh-agent צוגעגעבן קאָד וואָס פּריווענץ די אָפּזוך פון אַ פּריוואַט שליסל אין באַראַן ווי אַ רעזולטאַט פון זייַט-קאַנאַל אנפאלן, אַזאַ ווי ספּעקטער, צעלאָזן, ראָווהאַממער и RAMBleed. פּריוואַט שליסלען זענען איצט ינקריפּטיד ווען לאָודיד אין זכּרון און דעקריפּטיד בלויז ווען געוויינט, רוען ינקריפּטיד די רעשט פון די צייט. מיט דעם צוגאַנג, צו הצלחה צוריקקריגן די פּריוואַט שליסל, דער אַטאַקער מוזן ערשטער צוריקקריגן אַ ראַנדאַמלי דזשענערייטאַד ינטערמידייט שליסל פון 16 קב אין גרייס, געניצט צו ענקריפּט די הויפּט שליסל, וואָס איז אַנלייקלי געגעבן די אָפּזוך טעות קורס טיפּיש פון מאָדערן אנפאלן;
• В ssh-keygen צוגעלייגט יקספּערמענאַל שטיצן פֿאַר אַ סימפּלאַפייד סכעמע פֿאַר קריייטינג און וועראַפייינג דיגיטאַל סיגנאַטשערז. דיגיטאַל סיגנאַטשערז קענען זיין באשאפן מיט רעגולער SSH שליסלען סטאָרד אויף דיסק אָדער אין די ssh-אַגענט, און וועראַפייד מיט עפּעס ענלעך צו Authorized_keys רשימה פון גילטיק שליסלען. נאַמעספּאַסע אינפֿאָרמאַציע איז געבויט אין די דיגיטאַל כסימע צו ויסמיידן צעמישונג ווען געוויינט אין פאַרשידענע געביטן (למשל, פֿאַר E- בריוו און טעקעס);
• ssh-keygen איז סוויטשט דורך פעליקייַט צו נוצן די rsa-sha2-512 אַלגערידאַם ווען וואַלאַדייטינג סערטיפיקאַץ מיט אַ דיגיטאַל כסימע באזירט אויף אַ RSA שליסל (ווען ארבעטן אין CA מאָדע). אַזאַ סערטיפיקאַץ זענען נישט קאַמפּאַטאַבאַל מיט ריליסיז איידער OpenSSH 7.2 (צו ענשור קאַמפּאַטאַבילאַטי, די טיפּ פון אַלגערידאַם מוזן זיין אָווועררייד, למשל דורך רופן "ssh-keygen -t ssh-rsa -s ...");
• אין ssh, די פּראָקסיקאָמאַנד אויסדרוק איצט שטיצט יקספּאַנשאַן פון די "% n" סאַבסטיטושאַן (די האָסטנאַמע ספּעסיפיעד אין די אַדרעס באַר);
• אין די רשימות פון ענקריפּשאַן אַלגערידאַמז פֿאַר ssh און sshd, איר קענען איצט נוצן די "^" כאַראַקטער צו אַרייַנלייגן די פעליקייַט אַלגערידאַמז. פֿאַר בייַשפּיל, צו לייגן ssh-ed25519 צו די פעליקייַט רשימה, איר קענען ספּעציפיצירן "HostKeyAlgorithms ^ssh-ed25519";
• ssh-keygen גיט רעזולטאַט פון אַ באַמערקונג אַטאַטשט צו די שליסל ווען יקסטראַקטינג אַ ציבור שליסל פון אַ פּריוואַט איינער;
• צוגעלייגט די פיייקייט צו נוצן די "-v" פאָן אין ssh-keygen ווען פּערפאָרמינג שליסל לוקאַפּ אַפּעריישאַנז (למשל, "ssh-keygen -vF host"), ספּעציפיצירן וואָס רעזולטאַטן אין אַ וויזשאַוואַל באַלעבאָס כסימע;
• צוגעגעבן די פיייקייט צו נוצן PKCS8 ווי אַן אָלטערנאַטיוו פֿאָרמאַט פֿאַר סטאָרינג פּריוואַט שליסלען אויף דיסק. די PEM פֿאָרמאַט האלט צו זיין געוויינט דורך פעליקייַט, און PKCS8 קען זיין נוציק פֿאַר דערגרייכן קאַמפּאַטאַבילאַטי מיט דריט-פּאַרטיי אַפּלאַקיישאַנז.

מקור: opennet.ru