Recentment els desenvolupadors d'OpenSSH acaben d'anunciar que la versió 8.0 d'aquesta eina de seguretat per a la connexió remota amb el protocol SSH està gairebé a punt per ser publicada.
Damien Miller, un dels principals desenvolupadors de el projecte, acaba de cridar a la comunitat d'usuaris d'aquesta eina perquè puguin provar-la atès que, amb suficients ulls, tots els errors poden ser detectats a temps.
Les persones que decideixin fer servir aquesta nova versió podran no només ajudar a provar el rendiment i la detecció d'errors sense no que també podran descobrir noves millores de diversos comandes.
En el nivell de seguretat, per exemple, s'han introduït mesures de mitigació per a les debilitats de l'protocol scp en aquesta nova versió d'OpenSSH.
A la pràctica, copiar arxius amb scp serà més segur en OpenSSH 8.0 perquè copiar arxius d'un directori remot a un directori local farà que scp comprovi si els fitxers enviats pel servidor coincideixen amb la sol·licitud emesa.
Si aquest mecanisme no s'implementés, un servidor d'atac podria en teoria, interceptar la sol·licitud mitjançant el lliurament d'arxius maliciosos en lloc dels sol·licitats originalment.
No obstant això, malgrat aquestes mesures de mitigació, OpenSSH no recomana l'ús de l'protocol scp, Perquè és «obsolet, inflexible i difícil de resoldre».
«Recomanem l'ús de protocols més moderns com sftp i rsync per a la transferència d'arxius», va advertir Miller.
Què oferirà aquesta nova versió d'OpenSSH?
En el paquet «Novetats» d'aquesta nova versió inclou una sèrie de canvis que poden afectar les configuracions existents.
Per exemple, en el ja esmentat nivell de l'protocol scp, Atès que aquest protocol es basa en un shell remot, no hi ha una manera segura que els arxius transferits de el client coincideixi amb la de servidor.
Si hi ha una diferència entre el client genèric i l'extensió de servidor, el client pot rebutjar els arxius de servidor.
Per aquest motiu, l'equip de OpenSSH ha proporcionat a scp un nou indicador «-T» que desactiva les verificacions de la banda de el client per reintroduir l'atac descrit anteriorment.
En el nivell de l'Demond sshd: l'equip de OpenSSH va eliminar el suport per a la sintaxi «host / port» en desús.
Es va agregar un host / port separat per barres en 2001 en lloc de la sintaxi «host: port» per als usuaris d'IPv6.
Avui dia, la sintaxi de la barra es confon fàcilment amb la notació CIDR, que també és compatible amb OpenSSH.
altres novetats
Per tant, és aconsellable eliminar la notació de barra diagonal d'ListenAddress i PermitOpen. A més d'aquests canvis, tenim noves característiques agregades a OpenSSH 8.0. Aquests inclouen:
Un mètode experimental d'intercanvi de claus per a ordinadors quàntiques que ha aparegut en aquesta versió.
El propòsit d'aquesta funció és resoldre els problemes de seguretat que poden sorgir a l'distribuir claus entre parts, ateses les amenaces als avenços tecnològics, com l'augment de poder de còmput de les màquines, nous algoritmes per a les computadores quàntiques.
Per fer això, aquest mètode es basa en la solució de distribució de clau quàntica (abreujada QKD en anglès).
Aquesta solució utilitza propietats quàntiques per intercanviar informació secreta, com una clau criptogràfica.
En principi, mesurar un sistema quàntic altera el sistema. A més, si un pirata informàtic intentés interceptar una clau criptogràfica emesa a través d'una implementació de QKD, inevitablement deixaria empremtes detectables per OepnSSH.
D'altra banda, la mida per omissió de la clau RSA que s'ha actualitzat a 3072 bits.
De les altres novetats informades estan les següents:
- Addició de suport per a claus ECDSA en tokens PKCS
- permís de 'PKCS11Provide = none »per reemplaçar instàncies posteriors de la directiva PKCS11Provide en ssh_config.
- Es afegir un missatge de registre per a situacions en les quals una connexió s'interromp després d'intentar executar una ordre mentre està vigent una restricció sshd_config ForceCommand = internal-sftp.
Per a més informació, una llista completa d'altres addicions i correccions d'errors està disponible a la pàgina oficial.
Per provar aquesta nova versió pots dirigir-te a el següent enllaç.