Recientemente Vývojáři OpenSSH právě oznámili tuto verzi 8.0 tohoto bezpečnostního nástroje pro vzdálené připojení s protokolem SSH je téměř připraven k publikování.
Damian Miller, jeden z hlavních vývojářů projektu, který se právě nazývá komunita uživatelů tohoto nástroje aby to mohli vyzkoušet protože s dostatečným množstvím očí lze všechny chyby zachytit včas.
Lidé, kteří se rozhodnou použít tuto novou verzi, to budou moci Nejen, že vám pomohou otestovat výkon a detekovat chyby bez selhání, ale také budete moci objevit nová vylepšení z různých objednávek.
Na úrovni zabezpečení například v této nové verzi OpenSSH byla zavedena zmírňující opatření pro slabiny protokolu scp.
V praxi bude kopírování souborů pomocí scp v OpenSSH 8.0 bezpečnější, protože kopírování souborů ze vzdáleného adresáře do místního adresáře způsobí, že program scp zkontroluje, zda se soubory odeslané serverem shodují s vydaným požadavkem.
Pokud tento mechanismus není implementován, mohl by útočný server teoreticky zachytit požadavek doručením škodlivých souborů namísto původně požadovaných.
Navzdory těmto zmírňujícím opatřením však OpenSSH nedoporučuje použití protokolu scp, protože je „zastaralý, nepružný a obtížně řešitelný“.
„Doporučujeme pro přenos souborů používat modernější protokoly, jako je sftp a rsync,“ varoval Miller.
Co tato nová verze OpenSSH nabídne?
V balíčku «Novinky» této nové verze zahrnuje řadu změn, které mohou ovlivnit stávající konfigurace.
Např na výše uvedené úrovni protokolu scp, protože tento protokol je založen na vzdáleném shellu, neexistuje jistý způsob, že se soubory přenesené z klienta shodují se soubory ze serveru.
Pokud existuje rozdíl mezi obecným klientem a příponou serveru, může klient odmítnout soubory ze serveru.
Z tohoto důvodu tým OpenSSH poskytl scp nový příznak „-T“ který zakáže kontroly na straně klienta, aby znovu zavedl výše popsaný útok.
Na úrovni demond sshd: tým OpenSSH odstranil podporu zastaralé syntaxe „host / port“.
V roce 2001 byl přidán lomítko oddělený hostitel / port místo syntaxe „host: port“ pro uživatele protokolu IPv6.
Syntaxe lomítka je dnes snadno zaměnitelná s notací CIDR, kterou podporuje také OpenSSH.
Další novinky
Proto je vhodné odebrat notaci lomítka z ListenAddress a PermitOpen. Kromě těchto změn do OpenSSH 8.0 jsme přidali nové funkce. Tyto zahrnují:
Experimentální metoda výměny klíčů pro kvantové počítače, která se objevila v této verzi.
Účelem této funkce je vyřešit bezpečnostní problémy, které mohou nastat při distribuci klíčů mezi stranami, vzhledem k ohrožení technologického pokroku, jako je zvýšení výpočetní síly strojů, nové algoritmy pro kvantové počítače.
K tomu se tato metoda spoléhá na řešení distribuce kvantových klíčů (zkráceně QKD).
Toto řešení používá kvantové vlastnosti k výměně tajných informací, jako je kryptografický klíč.
V zásadě měření kvantového systému systém mění. Pokud by se hacker také pokusil zachytit kryptografický klíč vydaný prostřednictvím implementace QKD, nevyhnutelně by OepnSSH zanechal detekovatelné otisky prstů.
Kromě toho, výchozí velikost klíče RSA, která byla aktualizována na 3072 bitů.
Mezi další hlášené zprávy patří:
- Přidání podpory pro klíče ECDSA v tokenech PKCS
- oprávnění "PKCS11Provide = none" k přepsání následujících instancí směrnice PKCS11Provide v ssh_config.
- Zpráva protokolu se přidá pro situace, kdy je připojení přerušeno po pokusu o spuštění příkazu, zatímco je v platnosti omezení sshd_config ForceCommand = internal-sftp.
Úplný seznam dalších dodatků a oprav chyb je k dispozici na oficiální stránce.
Tuto novou verzi můžete vyzkoušet na následující odkaz.