Després de quatre mesos de desenvolupament, s'acaba de presentar el llançament de la nova versió de OpenSSH 8.2, la qual és una implementació oberta de el client i el servidor per treballar en els protocols SSH 2.0 i SFTP. una de les millores clau en el llançament d'OpenSSH 8.2 fue la capacitat d'utilitzar l'autenticació de dos factors utilitzant dispositius que admeten el protocol U2F desenvolupat per l'aliança FIDO.
U2F permet crear tokens de maquinari de baix cost per confirmar la presència física de l'usuari, la interacció és a través d'USB, Bluetooth o NFC. Aquests dispositius es promocionen com un mitjà d'autenticació de dos factors en els llocs, ja són compatibles amb els principals navegadors i són produïts per diversos fabricants, inclosos Yubico, Feitian, Thetis i Kensington.
Per interactuar amb dispositius que confirmen la presència de l'usuari, OpenSSH ha afegit dos nous tipus de claus «ECDSA-sk» i «ed25519-sk», Que utilitzen els algoritmes de signatura digital ECDSA i Ed25519 en combinació amb el hash SHA-256.
Els procediments per interactuar amb els tokens s'han transferit a una biblioteca intermèdia, que es carrega per analogia amb la biblioteca per al suport PKCS # 11 i és un enllaç sobre la biblioteca libfido2, que proporciona mitjans per comunicar-se amb els tokens a través d'USB (s'admeten els protocols FIDO U2F / CTAP 1 i FIDO 2.0 / CTAP 2).
La biblioteca intermèdia libsk-libfido2 preparada pels desenvolupadors d'OpenSSH si inclou en el nucli libfido2, així com el controlador HID per OpenBSD.
Per a l'autenticació i la generació de claus, s'ha d'especificar el paràmetre «SecurityKeyProvider» en la configuració o establir la variable d'entorn SSH_SK_PROVIDER, especificant la ruta a la biblioteca externa libsk-libfido2.so.
És possible construir openssh amb suport integrat per a la biblioteca de capes intermèdies i en aquest cas es necessita establir el paràmetre «SecurityKeyProvider = internal».
A més, per defecte, quan es realitzen operacions clau, es requereix una confirmació local de la presència física de l'usuari, per exemple, se suggereix tocar el sensor en el testimoni, el que dificulta realitzar atacs remots en sistemes amb un símbol connectat.
D'altra banda, la nova versió de OpenSSH també va anunciar la pròxima transferència a la categoria d'algoritmes obsolets que fan servir hash SHA-1 a causa d'un augment en l'eficiència dels atacs de col·lisió.
Per facilitar la transició a nous algoritmes en OpenSSH en una de les properes versions, la configuració UpdateHostKeys s'habilitarà per defecte, El que canviarà automàticament als clients a algoritmes més fiables.
També es podrà trobar en OpenSSH 8.2, la capacitat de connectar usant «ssh-rsa» encara es deixa, Però aquest algoritme s'elimina de la llista CASignatureAlgorithms, que defineix els algoritmes que són vàlids per a signar digitalment nous certificats.
De la mateixa manera, l'algoritme Diffie-Hellman-group14-sha1 s'ha eliminat dels algoritmes predeterminats d'intercanvi de claus.
Dels altres canvis que es destaquen d'aquesta nova versió:
- S'ha afegit una directiva incloure a sshd_config, que permet incloure el contingut d'altres arxius a la posició actual de l'arxiu de configuració.
- La directiva PublishAuthOptions s'ha afegit als sshd_config, combinant diferents opcions relacionades amb l'autenticació de clau pública.
- Es va agregar l'opció «-O write-attestation = / path» a ssh-keygen, que permet escriure certificats de certificació FIDO addicionals a l'generar claus.
- La capacitat d'exportar PEM per claus DSA i ECDSA s'ha afegit als ssh-keygen.
- Es va agregar un nou arxiu executable ssh-sk-helper utilitzat per aïllar la biblioteca d'accés de token FIDO / U2F.
¿Com instal·lar OpenSSH 8.2 en Linux?
Per als que estiguin interessats en poder instal·lar aquesta nova versió d'OpenSSH en els seus sistemes, de moment podran fer-ho descarregant el codi font d'aquest i realitzant la compilació en els seus equips.
Això és degut al fet que la nova versió encara no s'ha inclòs dins dels repositoris de les principals distribucions de Linux. Per obtenir el codi font d'OpenSSH 8.2. Això ho pots fer des del següent enllaç (En el moment de la redacció el paquet encara no apareix disponible en els mirrors i esmenten que pot trigar unes hores més)
Feta la descàrrega, ara anem a descomprimir el paquet amb la següent comanda:
tar -xvf openssh-8.2.tar.gz
Entrem a directori creat:
cd openssh-8.2
Y podrem realitzar la compilació amb les següents comandes:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install