بعد أربعة أشهر من التطوير ، تم إطلاق الإصدار الجديد من OpenSSH 8.2 ، وهو تطبيق مفتوح للعميل والخادم للعمل على بروتوكولات SSH 2.0 و SFTP. أ من التحسينات الرئيسية عند الإطلاق بواسطة OpenSSH 8.2 fالقدرة على استخدام المصادقة الثنائية باستخدام الأجهزة التي تدعم بروتوكول U2F التي طورها تحالف FIDO.
يسمح U2F بإنشاء رموز أجهزة منخفضة التكلفة لتأكيد الوجود المادي للمستخدم ، والذي يكون تفاعله عبر USB أو Bluetooth أو NFC. يتم الترويج لهذه الأجهزة كوسيلة للمصادقة الثنائية على المواقع ، وهي متوافقة بالفعل مع جميع المتصفحات الرئيسية ، ويتم إنتاجها من قبل العديد من الشركات المصنعة ، بما في ذلك Yubico و Feitian و Thetis و Kensington.
للتفاعل مع الأجهزة التي تؤكد وجود المستخدم ، أضاف OpenSSH نوعين جديدين من المفاتيح "ecdsa-sk" و "ed25519-sk"، والتي تستخدم خوارزميات التوقيع الرقمي ECDSA و Ed25519 جنبًا إلى جنب مع تجزئة SHA-256.
تم نقل إجراءات التفاعل مع التوكنات إلى مكتبة وسيطة ، والذي يتم تحميله عن طريق القياس مع مكتبة دعم PKCS # 11 وهو رابط في مكتبة libfido2 ، والذي يوفر وسيلة للتواصل مع الرموز عبر USB (يدعم بروتوكولات FIDO U2F / CTAP 1 و FIDO 2.0 / CTAP بروتوكولين).
مكتبة libsk-libfido2 الوسيطة التي أعدها مطورو OpenSSH sويتضمن في kernel libfido2 ، بالإضافة إلى برنامج تشغيل HID لـ OpenBSD.
للمصادقة وإنشاء المفتاح ، يجب عليك تحديد معلمة "SecurityKeyProvider" في التكوين أو تعيين متغير البيئة SSH_SK_PROVIDER ، وتحديد المسار إلى المكتبة الخارجية libsk-libfido2.so.
من الممكن بناء opensh مع دعم مضمن لمكتبة الطبقة الوسطى وفي هذه الحالة تحتاج إلى تعيين المعلمة "SecurityKeyProvider = داخلي".
أيضًا ، بشكل افتراضي ، عند تنفيذ عمليات المفاتيح ، يلزم تأكيد محلي لوجود المستخدم المادي ، على سبيل المثال ، يُقترح لمس المستشعر الموجود على الرمز المميز ، مما يجعل من الصعب تنفيذ هجمات عن بُعد على الأنظمة ذات الرمز المميز المتصل .
من ناحية أخرى ، الإصدار الجديد من أعلن OpenSSH أيضًا عن النقل القادم إلى فئة الخوارزميات القديمة باستخدام تجزئة SHA-1. بسبب زيادة كفاءة هجمات الاصطدام.
لتسهيل الانتقال إلى خوارزميات جديدة في OpenSSH في إصدار قادم ، سيتم تمكين الإعداد UpdateHostKeys بشكل افتراضي، والتي ستحول العملاء تلقائيًا إلى خوارزميات أكثر موثوقية.
يمكن العثور عليها أيضًا في OpenSSH 8.2 ، لا تزال القدرة على الاتصال باستخدام "ssh-rsa" قائمة، ولكن تمت إزالة هذه الخوارزمية من قائمة CASignatureAlgorithms ، والتي تحدد الخوارزميات الصالحة للتوقيع رقميًا على الشهادات الجديدة.
وبالمثل ، تمت إزالة خوارزمية diffie-hellman-group14-sha1 من خوارزميات تبادل المفاتيح الافتراضية.
من التغييرات الأخرى التي تبرز في هذا الإصدار الجديد:
- تمت إضافة توجيه التضمين إلى sshd_config ، والذي يسمح بتضمين محتويات الملفات الأخرى في الموضع الحالي لملف التكوين.
- تمت إضافة التوجيه PublishAuthOptions إلى sshd_config ، حيث يجمع بين الخيارات المختلفة المتعلقة بمصادقة المفتاح العام.
- تمت إضافة خيار "-O write-attestation = / path" إلى ssh-keygen ، والذي يسمح بكتابة شهادات FIDO إضافية عند إنشاء المفاتيح.
- تمت إضافة القدرة على تصدير PEM لمفاتيح DSA و ECDSA إلى ssh-keygen.
- تمت إضافة ملف جديد قابل للتنفيذ ssh-sk-helper يستخدم لعزل مكتبة الوصول إلى الرمز المميز FIDO / U2F.
كيفية تثبيت OpenSSH 8.2 على نظام Linux؟
بالنسبة لأولئك المهتمين بالقدرة على تثبيت هذا الإصدار الجديد من OpenSSH على أنظمتهم ، في الوقت الحالي يمكنهم فعل ذلك تنزيل الكود المصدري لهذا و إجراء التجميع على أجهزة الكمبيوتر الخاصة بهم.
هذا لأن الإصدار الجديد لم يتم تضمينه بعد في مستودعات توزيعات Linux الرئيسية. للحصول على الكود المصدري لـ OpenSSH 8.2. يمكنك القيام بذلك من الرابط التالي (في وقت كتابة هذا التقرير ، لم تكن الحزمة متوفرة بعد على المرايا ويذكرون أن الأمر قد يستغرق بضع ساعات أخرى)
تم التنزيل ، سنقوم الآن بفك ضغط الحزمة باستخدام الأمر التالي:
tar -xvf openssh-8.2.tar.gz
ندخل إلى الدليل الذي تم إنشاؤه:
cd openssh-8.2
Y يمكننا تجميعها الأوامر التالية:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install