Μετά από έξι μήνες ανάπτυξης ανακοινώθηκε η κυκλοφορία του OpenSSH 8.1, το οποίο είναι ένα σύνολο εφαρμογών που επιτρέπουν κρυπτογραφημένες επικοινωνίες μέσω δικτύου, χρησιμοποιώντας το πρωτόκολλο SSH, ως εφαρμογή πελάτη και διακομιστή ανοιχτού κώδικα για εργασία σε SSH 2.0 και SFTP.
Αυτή η νέα έκδοση του Το OpenSSH 8.1 έρχεται με κάποιες βελτιώσειςΑλλά ένα από τα σημαντικότερα σημεία είναι η επιδιόρθωση της ευπάθειας που επηρεάζει τα ssh, sshd, ssh-add και ssh-keygen. το πρόβλημα υπάρχει στον κωδικό ανάλυσης ιδιωτικού κλειδιού με τύπο XMSS και επιτρέπει στον εισβολέα να ξεκινήσει μια υπερχείλιση. Η ευπάθεια επισημαίνεται ως εκμεταλλεύσιμη, αλλά δεν ισχύει, δεδομένου ότι η υποστήριξη για κλειδιά XMSS αναφέρεται σε πειραματικές λειτουργίες που είναι απενεργοποιημένες από προεπιλογή (στη φορητή έκδοση, το autoconf δεν παρέχει καν επιλογή για την ενεργοποίηση του XMSS).
Κύρια νέα χαρακτηριστικά του OpenSSH 8.1
Σε αυτή τη νέα έκδοση του OpenSSH 8.1 sΠροστέθηκε κώδικας σε ssh, sshd και ssh-agent που αποτρέπει την ανάκτηση του ιδιωτικού κλειδιού που βρίσκεται στη μνήμη RAM ως αποτέλεσμα επιθέσεων σε κανάλια τρίτων όπως π.χ Φάντασμα, Meltdown, RowHammer και RAMbleed.
Τα ιδιωτικά κλειδιά κρυπτογραφούνται τώρα όταν φορτώνονται στη μνήμη και αποκρυπτογραφούνται μόνο εν κινήσει χρήσης, ο υπόλοιπος χρόνος που απομένει είναι κρυπτογραφημένος. Με αυτήν την προσέγγιση, για να ανακτήσει επιτυχώς το ιδιωτικό κλειδί, ο εισβολέας πρέπει πρώτα να επαναφέρει το τυχαία δημιουργημένο ενδιάμεσο κλειδί 16K για να κρυπτογραφήσει το πρωτεύον κλειδί, κάτι που είναι απίθανο με το ποσοστό σφάλματος ανάκτησης που είναι χαρακτηριστικό των σύγχρονων επιθέσεων.
Μια άλλη σημαντική αλλαγή που ξεχωρίζει το ssh-keygen που προστέθηκε ως πειραματική υποστήριξη για ένα απλοποιημένο σχήμα για τη δημιουργία και την επαλήθευση ψηφιακών υπογραφών. Οι ψηφιακές υπογραφές μπορούν να δημιουργηθούν χρησιμοποιώντας συνηθισμένα κλειδιά SSH που είναι αποθηκευμένα σε δίσκο ή σε ssh-agent και επαληθεύονται με βάση μια λίστα έγκυρων κλειδιών παρόμοια με τα εξουσιοδοτημένα κλειδιά.
Οι πληροφορίες σχετικά με τον χώρο ονομάτων είναι ενσωματωμένες στην ψηφιακή υπογραφή για να αποφευχθεί η σύγχυση όταν εφαρμόζονται σε πολλά πεδία (για παράδειγμα, για email και αρχεία).
Το ssh-keygen είναι ενεργοποιημένο από προεπιλογή για χρήση του αλγόριθμου rsa-sha2-512 κατά την επαλήθευση πιστοποιητικών με ψηφιακή υπογραφή με βάση το κλειδί RSA (όταν εργάζεστε σε λειτουργία CA).
Τέτοια πιστοποιητικά δεν είναι συμβατά με εκδόσεις πριν από το OpenSSH 7.2 (Για να διασφαλίσετε τη συμβατότητα, παρακάμψτε τον τύπο αλγορίθμου, π.χ. καλώντας "ssh-keygen -t ssh-rsa -s ...").
Στο ssh, η έκφραση ProxyCommand υποστηρίζει την επέκταση επέκτασης "%n" (το όνομα κεντρικού υπολογιστή που καθορίζεται στη γραμμή διευθύνσεων).
Στις λίστες των αλγορίθμων κρυπτογράφησης για ssh και sshd, το σύμβολο "^" aΗ ώρα μπορεί να χρησιμοποιηθεί για την εισαγωγή των προεπιλεγμένων αλγορίθμων. Το ssh-keygen εξάγει ένα σχόλιο συνδεδεμένο σε ένα κλειδί κατά την ανάκτηση ενός δημόσιου κλειδιού από ένα ιδιωτικό.
Το ssh-keygen προσθέτει τη δυνατότητα χρήσης της σημαίας -v κατά την εκτέλεση λειτουργιών αναζήτησης κλειδιού (για παράδειγμα, ssh-keygen -vF host), η ένδειξη του οποίου οδηγεί στην εμφάνιση μιας καθαρής υπογραφής κεντρικού υπολογιστή.
Τέλος, μια άλλη εξαιρετική καινοτομία είναι προσθέτοντας τη δυνατότητα χρήσης του PKCS8 ως εναλλακτικής μορφής για την αποθήκευση ιδιωτικών κλειδιών Στο δίσκο. Από προεπιλογή, η μορφή PEM συνεχίζει να χρησιμοποιείται και το PKCS8 μπορεί να είναι χρήσιμο για συμβατότητα με εφαρμογές τρίτων κατασκευαστών.
Πώς να εγκαταστήσετε το OpenSSH 8.1 σε Linux;
Για όσους ενδιαφέρονται να εγκαταστήσουν αυτήν τη νέα έκδοση του OpenSSH στα συστήματά τους, για τώρα μπορούν να το κάνουν λήψη του πηγαίου κώδικα αυτού και εκτελούν τη συλλογή στους υπολογιστές τους.
Αυτό συμβαίνει επειδή η νέα έκδοση δεν έχει ακόμη συμπεριληφθεί στα αποθετήρια των κύριων διανομών Linux. Για να λάβετε τον πηγαίο κώδικα OpenSSH 8.1, αρκεί να ανοίξουμε ένα τερματικό και σε αυτό θα πληκτρολογήσουμε την ακόλουθη εντολή:
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
Έγινε η λήψη, τώρα θα αποσυμπιέσουμε το πακέτο με την ακόλουθη εντολή:
tar -xvf openssh-8.1p1.tar.gz
Μπαίνουμε στον δημιουργημένο κατάλογο:
cd openssh-8.1p1.tar.gz
Y μπορούμε να συντάξουμε με τις ακόλουθες εντολές:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install