Nakon četiri mjeseca razvoja, lansiranje nova verzija OpenSSH 8.2, što je otvorena implementacija klijenta i servera za rad na SSH 2.0 i SFTP protokolima. A ključnih poboljšanja pri lansiranju od OpenSSH 8.2 feu mogućnost upotrebe dvofaktorske autentifikacije pomoću uređaja koji podržavaju U2F protokol razvio savez FIDO.
U2F omogućava stvaranje jeftinih hardverskih tokena kako bi se potvrdilo fizičko prisustvo korisnika čija je interakcija putem USB-a, Bluetootha ili NFC-a. Takvi uređaji se promoviraju kao sredstvo dvofaktorske autentifikacije na web lokacijama, već su kompatibilni sa svim glavnim pretraživačima i proizvode ih različiti proizvođači, uključujući Yubico, Feitian, Thetis i Kensington.
Za interakciju s uređajima koji potvrđuju prisustvo korisnika, OpenSSH je dodao dvije nove vrste ključeva "ecdsa-sk" i "ed25519-sk", koji koriste ECDSA i Ed25519 algoritme digitalnog potpisa u kombinaciji sa SHA-256 hešem.
Postupci za interakciju s tokenima prebačeni su u srednju biblioteku, koja je učitana analogno knjižnici za podršku PKCS # 11 i veza je na biblioteci libfido2, koja pruža sredstva za komunikaciju s tokenima putem USB-a (podržana su dva protokola FIDO U2F / CTAP 1 i FIDO 2.0 / CTAP).
Srednja biblioteka libsk-libfido2 koju su pripremili programeri OpenSSH si uključuje u jezgru libfido2, kao i HID pokretački program za OpenBSD.
Za provjeru autentičnosti i generiranje ključa morate navesti parametar "SecurityKeyProvider" u konfiguraciji ili postaviti varijablu okruženja SSH_SK_PROVIDER, navodeći stazu do vanjske knjižnice libsk-libfido2.so.
Moguće je izgraditi openssh s ugrađenom podrškom za biblioteku srednjeg sloja i u ovom slučaju trebate postaviti parametar "SecurityKeyProvider = interni".
Također, prema zadanim postavkama, kada se izvode ključne operacije, potrebna je lokalna potvrda fizičkog prisustva korisnika, na primjer, predlaže se dodirivanje senzora na tokenu, što otežava izvođenje daljinskih napada na sisteme s povezanim tokenom .
S druge strane, nova verzija OpenSSH je također najavio predstojeći prelazak u kategoriju zastarjelih algoritama koji koriste SHA-1 heširanje. zbog povećanja efikasnosti napada sudara.
Da biste olakšali prelazak na nove algoritme u OpenSSH u narednom izdanju, postavka UpdateHostKeys bit će omogućena prema zadanim postavkama, koji će automatski prebaciti klijente na pouzdanije algoritme.
Takođe se može naći u OpenSSH 8.2, mogućnost povezivanja pomoću "ssh-rsa" je i dalje ostala, ali ovaj algoritam je uklonjen sa liste CASignatureAlgorithms, koja definira algoritme koji vrijede za digitalno potpisivanje novih certifikata.
Slično tome, algoritam diffie-hellman-group14-sha1 uklonjen je iz zadanih algoritama razmjene ključeva.
Od ostalih promjena koje se ističu u ovoj novoj verziji:
- U sshd_config dodana je direktiva include, koja omogućava uključivanje sadržaja ostalih datoteka u trenutni položaj konfiguracijske datoteke.
- Direktiva PublishAuthOptions dodana je u sshd_config, kombinirajući različite opcije povezane s autentifikacijom javnog ključa.
- Ssh-keygenu dodana opcija "-O write-atestation = / path", koja omogućava pisanje dodatnih certifikata FIDO certifikata prilikom generiranja ključeva.
- Mogućnost izvoza PEM-a za DSA i ECDSA ključeve dodana je u ssh-keygen.
- Dodan je novi ssh-sk-helper izvršni program koji se koristi za izolaciju FIDO / U2F biblioteke za pristup tokenima.
Kako instalirati OpenSSH 8.2 na Linux?
Za one koje zanima mogućnost instaliranja ove nove verzije OpenSSH-a na svoje sisteme, za sada to mogu preuzimanje izvornog koda ovog i izvodeći kompilaciju na svojim računarima.
To je zato što nova verzija još nije uključena u spremišta glavnih Linux distribucija. Da biste dobili izvorni kod za OpenSSH 8.2. To možete učiniti iz sledeći link (u trenutku pisanja paketa još nije dostupan na ogledalima i spominju da bi moglo potrajati još nekoliko sati)
Završeno preuzimanje, sada ćemo raspakirati paket slijedećom naredbom:
tar -xvf openssh-8.2.tar.gz
Ulazimo u kreirani direktorij:
cd openssh-8.2
Y možemo kompajlirati sa sljedeće naredbe:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install