След четири месеца на разработка, стартирането на новата версия на OpenSSH 8.2, което е отворена клиентска и сървърна реализация за работа по протоколите SSH 2.0 и SFTP. A ключови подобрения при стартиране от OpenSSH 8.2 feu възможността да се използва двуфакторно удостоверяване използване на устройства които поддържат U2F протокола разработена от алианса FIDO.
U2F позволява създаването на евтини хардуерни токени, за да потвърди физическото присъствие на потребителя, чието взаимодействие е чрез USB, Bluetooth или NFC. Такива устройства се популяризират като средство за двуфакторно удостоверяване на сайтовете, вече са съвместими с всички основни браузъри и се произвеждат от различни производители, включително Yubico, Feitian, Thetis и Kensington.
За да взаимодействате с устройства, които потвърждават присъствието на потребителя, OpenSSH добави два нови типа ключове "ecdsa-sk" и "ed25519-sk", които използват алгоритмите за цифров подпис ECDSA и Ed25519 в комбинация с хеш SHA-256.
Процедурите за взаимодействие с жетоните са прехвърлени в междинна библиотека, който се зарежда по аналогия с библиотеката за поддръжка на PKCS # 11 и представлява връзка към библиотеката libfido2, която осигурява средства за комуникация с маркери чрез USB (протоколите FIDO U2F / CTAP 1 и FIDO 2.0 / CTAP се поддържат два).
Междинната библиотека libsk-libfido2, подготвена от разработчиците на OpenSSH sи включва в ядрото libfido2, както и HID драйвер за OpenBSD.
За удостоверяване и генериране на ключове трябва да посочите параметъра "SecurityKeyProvider" в конфигурацията или да зададете променливата на средата SSH_SK_PROVIDER, като посочите пътя към външната библиотека libsk-libfido2.so.
Възможно е да се изгради openssh с вградена поддръжка за библиотеката на средния слой и в този случай трябва да зададете параметъра "SecurityKeyProvider = вътрешен".
Също така, по подразбиране, когато се извършват ключови операции, се изисква локално потвърждение на физическото присъствие на потребителя, например, препоръчва се да се докосне сензорът на маркера, което затруднява извършването на отдалечени атаки върху системи със свързан маркер.
От друга страна, новата версия на OpenSSH също обяви предстоящия трансфер в категорията на остарелите алгоритми, които използват хеширане SHA-1. поради увеличаване на ефективността на атаките при сблъсък.
За да улесните прехода към нови алгоритми в OpenSSH в предстояща версия, настройката UpdateHostKeys ще бъде активирана по подразбиране, което автоматично ще превключи клиентите към по-надеждни алгоритми.
Може да се намери и в OpenSSH 8.2, възможността за свързване чрез "ssh-rsa" все още е оставена, но този алгоритъм е премахнат от списъка CASignatureAlgorithms, който определя алгоритмите, които са валидни за цифрово подписване на нови сертификати.
По същия начин алгоритъмът на diffie-hellman-group14-sha1 е премахнат от алгоритмите за обмен на ключове по подразбиране.
От останалите промени, които се открояват в тази нова версия:
- Към sshd_config е добавена директива за включване, която позволява съдържанието на други файлове да бъде включено в текущата позиция на конфигурационния файл.
- Директивата PublishAuthOptions е добавена към sshd_config, комбинирайки различни опции, свързани с удостоверяване с публичен ключ.
- Добавена е опция "-O запис-атестация = / път" към ssh-keygen, която позволява да се записват допълнителни сертификати за сертифициране FIDO при генериране на ключове.
- Възможността за експортиране на PEM за DSA и ECDSA ключове е добавена към ssh-keygen.
- Добавен е нов изпълним файл ssh-sk-helper, използван за изолиране на библиотеката за достъп до маркера FIDO / U2F.
Как да инсталирам OpenSSH 8.2 на Linux?
За тези, които се интересуват от възможността да инсталират тази нова версия на OpenSSH на своите системи, засега те могат да го направят изтегляне на изходния код на това и извършване на компилацията на техните компютри.
Това е така, защото новата версия все още не е включена в хранилищата на основните дистрибуции на Linux. За да получите изходния код за OpenSSH 8.2. Можете да направите това от Следваща връзка (по време на писането на пакета все още не се предлага на огледалата и те споменават, че може да отнеме още няколко часа)
Извършено изтегляне, сега ще разархивираме пакета със следната команда:
tar -xvf openssh-8.2.tar.gz
Въвеждаме създадената директория:
cd openssh-8.2
Y можем да компилираме с следните команди:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install