مؤخرا أعلن مطورو OpenSSH للتو أن الإصدار 8.0 من أداة الأمان هذه للاتصال عن بُعد ببروتوكول SSH يكاد يكون جاهزًا للنشر.
داميان ميلر, أحد المطورين الرئيسيين للمشروع ، ويسمى فقط مجتمع المستخدمين من هذه الأداة حتى يتمكنوا من تجربته لأنه ، بعيون كافية ، يمكن اكتشاف جميع الأخطاء في الوقت المناسب.
سيتمكن الأشخاص الذين يقررون استخدام هذا الإصدار الجديد من ذلك لن تساعدك فقط على اختبار الأداء واكتشاف الأخطاء دون الفشل ، بل ستتمكن أيضًا من اكتشاف تحسينات جديدة من الطلبات المختلفة.
على مستوى الأمان ، على سبيل المثال ، تم تقديم تدابير التخفيف لنقاط ضعف بروتوكول scp في هذا الإصدار الجديد من OpenSSH.
من الناحية العملية ، سيكون نسخ الملفات باستخدام scp أكثر أمانًا في OpenSSH 8.0 لأن نسخ الملفات من دليل بعيد إلى دليل محلي سيتسبب في قيام scp بالتحقق مما إذا كانت الملفات المرسلة بواسطة الخادم تتطابق مع الطلب الصادر.
إذا لم يتم تنفيذ هذه الآلية ، يمكن لخادم الهجوم ، من الناحية النظرية ، اعتراض الطلب عن طريق تسليم ملفات ضارة بدلاً من الملفات المطلوبة في الأصل.
ومع ذلك ، على الرغم من إجراءات التخفيف هذه ، لا توصي OpenSSH باستخدام بروتوكول scp ، لأنه "قديم وغير مرن ويصعب حله".
حذر ميلر "نوصي باستخدام بروتوكولات أكثر حداثة مثل sftp و rsync لنقل الملفات".
ماذا سيقدم هذا الإصدار الجديد من OpenSSH؟
في حزمة «الأخبار» من هذا الإصدار الجديد يتضمن عددًا من التغييرات التي يمكن أن تؤثر على التكوينات الحالية.
على سبيل المثال على المستوى المذكور أعلاه من بروتوكول scp، نظرًا لأن هذا البروتوكول يعتمد على غلاف بعيد ، لا توجد طريقة مؤكدة أن الملفات المنقولة من العميل تتطابق مع تلك التي تم نقلها من الخادم.
إذا كان هناك اختلاف بين العميل العام وامتداد الخادم ، فيمكن للعميل رفض الملفات من الخادم.
لهذا السبب ، قام فريق OpenSSH بتزويد scp بعلامة "-T" جديدة مما يؤدي إلى تعطيل عمليات التحقق من جانب العميل لإعادة تنفيذ الهجوم الموضح أعلاه.
على مستوى sshd demond: قام فريق OpenSSH بإزالة الدعم لبناء جملة "المضيف / المنفذ" الذي تم إيقافه.
تمت إضافة مضيف / منفذ مفصول بشرطة في عام 2001 بدلاً من بناء جملة "المضيف: المنفذ" لمستخدمي IPv6.
اليوم يتم الخلط بسهولة بين بناء الجملة المائلة مع تدوين CIDR ، وهو متوافق أيضًا مع OpenSSH.
مستجدات أخرى
لذلك ، يُنصح بإزالة العلامة المائلة للأمام من ListenAddress و PermitOpen. بالإضافة إلى هذه التغييرات ، لدينا ميزات جديدة مضافة إلى OpenSSH 8.0. وتشمل هذه:
طريقة تجريبية لتبادل المفاتيح لأجهزة الكمبيوتر الكمومية ظهرت في هذا الإصدار.
الغرض من هذه الوظيفة هو حل المشكلات الأمنية التي قد تنشأ عند توزيع المفاتيح بين الأطراف ، نظرًا للتهديدات التي تواجه التقدم التكنولوجي ، مثل زيادة القوة الحاسوبية للآلات ، والخوارزميات الجديدة لأجهزة الكمبيوتر الكمومية.
للقيام بذلك ، تعتمد هذه الطريقة على حل توزيع المفتاح الكمي (اختصار QKD باللغة الإنجليزية).
يستخدم هذا الحل الخصائص الكمية لتبادل المعلومات السرية ، مثل مفتاح التشفير.
من حيث المبدأ ، فإن قياس النظام الكمي يغير النظام. أيضًا ، إذا حاول أحد المتطفلين اعتراض مفتاح تشفير تم إصداره من خلال تطبيق QKD ، فسيترك حتماً بصمات أصابع يمكن اكتشافها لـ OepnSSH.
وعلاوة على ذلك، الحجم الافتراضي لمفتاح RSA الذي تم تحديثه إلى 3072 بت.
من الأخبار الأخرى المبلغ عنها ما يلي:
- إضافة دعم لمفاتيح ECDSA في رموز PKCS
- إذن "PKCS11Provide = none" لتجاوز المثيلات اللاحقة لتوجيه PKCS11Provide في ssh_config.
- تتم إضافة رسالة سجل للحالات التي يتم فيها قطع الاتصال بعد محاولة تشغيل أحد الأوامر أثناء تشغيل sshd_config ForceCommand = قيد داخلي sftp.
لمزيد من التفاصيل ، تتوفر قائمة كاملة بالإضافات الأخرى وإصلاحات الأخطاء على الصفحة الرسمية.
لتجربة هذا الإصدار الجديد يمكنك الذهاب للرابط التالي.