Après quatre mois de développement, le lancement de la nouvelle version de OpenSSH 8.2, qui est une implémentation client et serveur ouverte pour travailler sur les protocoles SSH 2.0 et SFTP. Ongle des améliorations clés au lancement par OpenSSH 8.2 feu la possibilité d'utiliser l'authentification à deux facteurs en utilisant des appareils prenant en charge le protocole U2F développé par l'alliance FIDO.
U2F permet la création de jetons matériels bon marché pour confirmer la présence physique de l'utilisateur, dont l'interaction se fait via USB, Bluetooth ou NFC. Ces appareils sont présentés comme un moyen d'authentification à deux facteurs sur les sites, sont déjà compatibles avec tous les principaux navigateurs et sont produits par divers fabricants, notamment Yubico, Feitian, Thetis et Kensington.
Pour interagir avec les appareils qui confirment la présence de l'utilisateur, OpenSSH a ajouté deux nouveaux types de clés "ecdsa-sk" et "ed25519-sk", qui utilisent les algorithmes de signature numérique ECDSA et Ed25519 en combinaison avec le hachage SHA-256.
Les procédures d'interaction avec les jetons ont été transférées vers une bibliothèque intermédiaire, qui est chargé par analogie avec la bibliothèque pour le support PKCS # 11 et est un lien sur la bibliothèque libfido2, qui fournit des moyens de communiquer avec des jetons via USB (les protocoles FIDO U2F / CTAP 1 et FIDO 2.0 / CTAP sont supportés deux).
La bibliothèque intermédiaire libsk-libfido2 préparée par les développeurs OpenSSHet inclut dans le noyau libfido2, ainsi que le pilote HID pour OpenBSD.
Pour l'authentification et la génération de clé, vous devez spécifier le paramètre "SecurityKeyProvider" dans la configuration ou définir la variable d'environnement SSH_SK_PROVIDER, en spécifiant le chemin vers la bibliothèque externe libsk-libfido2.so.
Il est possible de créer openssh avec un support intégré pour la bibliothèque de couches intermédiaires et dans ce cas, vous devez définir le paramètre "SecurityKeyProvider = internal".
De plus, par défaut, lorsque des opérations clés sont effectuées, une confirmation locale de la présence physique de l'utilisateur est requise, par exemple, il est suggéré de toucher le capteur sur le jeton, ce qui rend difficile la réalisation d'attaques à distance sur les systèmes avec un jeton connecté .
D'autre part, la nouvelle version de OpenSSH a également annoncé le prochain transfert vers la catégorie des algorithmes obsolètes qui utilisent le hachage SHA-1. en raison d'une augmentation de l'efficacité des attaques par collision.
Pour faciliter la transition vers de nouveaux algorithmes dans OpenSSH dans une prochaine version, le paramètre UpdateHostKeys sera activé par défaut, qui basculera automatiquement les clients vers des algorithmes plus fiables.
Il peut également être trouvé dans OpenSSH 8.2, la possibilité de se connecter en utilisant "ssh-rsa" est toujours disponible, mais cet algorithme est supprimé de la liste CASignatureAlgorithms, qui définit les algorithmes valides pour la signature numérique de nouveaux certificats.
De même, l'algorithme diffie-hellman-group14-sha1 a été supprimé des algorithmes d'échange de clés par défaut.
Parmi les autres changements qui ressortent de cette nouvelle version:
- Une directive d'inclusion a été ajoutée à sshd_config, permettant au contenu d'autres fichiers d'être inclus dans la position actuelle du fichier de configuration.
- La directive PublishAuthOptions a été ajoutée à sshd_config, combinant différentes options liées à l'authentification par clé publique.
- Ajout de l'option "-O write-attestation = / path" à ssh-keygen, qui permet d'écrire des certificats de certification FIDO supplémentaires lors de la génération de clés.
- La possibilité d'exporter PEM pour les clés DSA et ECDSA a été ajoutée à ssh-keygen.
- Ajout d'un nouveau fichier exécutable ssh-sk-helper utilisé pour isoler la bibliothèque d'accès aux jetons FIDO / U2F.
Comment installer OpenSSH 8.2 sur Linux?
Pour ceux qui souhaitent pouvoir installer cette nouvelle version d'OpenSSH sur leurs systèmes, pour l'instant ils peuvent le faire télécharger le code source de ceci et effectuer la compilation sur leurs ordinateurs.
En effet, la nouvelle version n'a pas encore été incluse dans les référentiels des principales distributions Linux. Pour obtenir le code source d'OpenSSH 8.2. Vous pouvez le faire à partir du lien ci-dessous (au moment de la rédaction de cet article, le package n'est pas encore disponible sur les miroirs et ils mentionnent que cela peut prendre quelques heures de plus)
Terminé le téléchargement, maintenant, nous allons décompresser le package avec la commande suivante:
tar -xvf openssh-8.2.tar.gz
Nous entrons dans le répertoire créé:
cd openssh-8.2
Y nous pouvons compiler avec les commandes suivantes:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install