Recientemente ओपनएसएसएच डेवलपर्स ने अभी संस्करण 8.0 की घोषणा की है SSH प्रोटोकॉल के साथ दूरस्थ कनेक्शन के लिए इस सुरक्षा उपकरण का यह प्रकाशन के लिए लगभग तैयार है.
डेमियन मिलर, परियोजना के मुख्य डेवलपर्स में से एक, जिसे उपयोगकर्ता समुदाय कहा जाता है इस उपकरण का ताकि वे इसे आज़मा सकें चूँकि, पर्याप्त आँखों से, सभी त्रुटियों का समय पर पता लगाया जा सकता है।
जो लोग इस नए संस्करण का उपयोग करने का निर्णय लेंगे वे इसका उपयोग कर सकेंगे न केवल प्रदर्शन का परीक्षण करने और बग का पता लगाने में मदद करता है बल्कि विभिन्न अनुरोधों से नए सुधार भी खोजता है।
सुरक्षा स्तर पर, उदाहरण के लिए, ओपनएसएसएच के इस नए संस्करण में एससीपी प्रोटोकॉल में कमजोरियों को कम करने की शुरुआत की गई है।
व्यवहार में, एससीपी के साथ फ़ाइलों की प्रतिलिपि बनाना ओपनएसएसएच 8.0 में अधिक सुरक्षित होगा क्योंकि दूरस्थ निर्देशिका से फ़ाइलों को स्थानीय निर्देशिका में कॉपी करने से एससीपी यह जांच करेगा कि सर्वर द्वारा भेजी गई फ़ाइलें जारी किए गए अनुरोध से मेल खाती हैं या नहीं।
यदि यह तंत्र लागू नहीं किया गया था, तो एक हमला सर्वर, सिद्धांत रूप में, मूल रूप से अनुरोधित फ़ाइलों के बजाय दुर्भावनापूर्ण फ़ाइलें वितरित करके अनुरोध को रोक सकता है।
हालाँकि, इन शमन उपायों के बावजूद, ओपनएसएसएच एससीपी प्रोटोकॉल के उपयोग की अनुशंसा नहीं करता है, क्योंकि यह "अप्रचलित, अनम्य और हल करने में कठिन" है।
मिलर ने कहा, "हम फ़ाइल स्थानांतरण के लिए sftp और rsync जैसे नए प्रोटोकॉल का उपयोग करने की सलाह देते हैं।"
ओपनएसएसएच का यह नया संस्करण क्या पेशकश करेगा?
इस नए संस्करण के "नया क्या है" पैकेज में इसमें कई परिवर्तन शामिल हैं जो मौजूदा कॉन्फ़िगरेशन को प्रभावित कर सकते हैं।
उदाहरण के एससीपी प्रोटोकॉल के पहले से उल्लिखित स्तर पर, चूँकि यह प्रोटोकॉल रिमोट शेल पर आधारित है, क्लाइंट से सर्वर से स्थानांतरित की गई फ़ाइलों से मिलान करने का कोई निश्चित तरीका नहीं है।
यदि जेनेरिक क्लाइंट और सर्वर एक्सटेंशन के बीच कोई अंतर है, तो क्लाइंट सर्वर से फ़ाइलों को अस्वीकार कर सकता है।
इस कारण से, ओपनएसएसएच टीम ने एससीपी को एक नया "-टी" ध्वज प्रदान किया है। जो ऊपर वर्णित हमले को दोबारा शुरू करने के लिए क्लाइंट-साइड चेक को अक्षम कर देता है।
मांग sshd स्तर पर: ओपनएसएसएच टीम ने अप्रचलित "होस्ट/पोर्ट" सिंटैक्स के लिए समर्थन हटा दिया।
IPv2001 उपयोगकर्ताओं के लिए "होस्ट:पोर्ट" सिंटैक्स के स्थान पर 6 में एक स्लैश-पृथक होस्ट/पोर्ट जोड़ा गया था।
आज, स्लैश सिंटैक्स को सीआईडीआर नोटेशन के साथ आसानी से भ्रमित किया जा सकता है, जो ओपनएसएसएच द्वारा भी समर्थित है।
अन्य सस्ता माल
इसलिए, लिसनएड्रेस और परमिटओपन से फॉरवर्ड स्लैश नोटेशन को हटाने की सलाह दी जाती है। इन परिवर्तनों के अतिरिक्त, हमने OpenSSH 8.0 में नई सुविधाएँ जोड़ी हैं। इसमे शामिल है:
क्वांटम कंप्यूटरों के लिए कुंजियों के आदान-प्रदान की एक प्रायोगिक विधि जो इस संस्करण में सामने आई है.
इस सुविधा का उद्देश्य उन सुरक्षा मुद्दों को संबोधित करना है जो पार्टियों के बीच चाबियाँ वितरित करते समय उत्पन्न हो सकते हैं, तकनीकी प्रगति के खतरों को देखते हुए, जैसे मशीनों की बढ़ी हुई कंप्यूटिंग शक्ति, क्वांटम कंप्यूटरों के लिए नए एल्गोरिदम।
ऐसा करने के लिए, यह विधि क्वांटम कुंजी वितरण (क्यूकेडी) समाधान पर आधारित है।
यह समाधान क्रिप्टोग्राफ़िक कुंजी जैसी गुप्त जानकारी का आदान-प्रदान करने के लिए क्वांटम गुणों का उपयोग करता है।
सिद्धांत रूप में, क्वांटम प्रणाली को मापने से प्रणाली बदल जाती है। इसके अलावा, यदि कोई हैकर QKD कार्यान्वयन के माध्यम से जारी क्रिप्टोग्राफ़िक कुंजी को इंटरसेप्ट करने का प्रयास करता है, तो यह अनिवार्य रूप से OepnSSH के लिए ट्रेस करने योग्य निशान छोड़ देगा।
इसके अलावा, आरएसए कुंजी का डिफ़ॉल्ट आकार जिसे 3072 बिट्स में अद्यतन किया गया है।
रिपोर्ट की गई अन्य खबरें निम्नलिखित हैं:
- पीकेसीएस टोकन में ईसीडीएसए कुंजियों के लिए समर्थन जोड़ना
- ssh_config में PKCS11Provide निर्देश के बाद के उदाहरणों को ओवरराइड करने के लिए "PKCS11Provide = none" की अनुमति।
- उन स्थितियों के लिए एक लॉग संदेश जोड़ा गया जहां एक बाधा sshd_config ForceCommand = आंतरिक-sftp प्रभावी होने पर एक कमांड निष्पादित करने का प्रयास करने के बाद कनेक्शन हटा दिया जाता है।
अधिक विवरण के लिए, अन्य परिवर्धन और बग फिक्स की पूरी सूची आधिकारिक पृष्ठ पर उपलब्ध है।
इस नए संस्करण का परीक्षण करने के लिए आप यहां जा सकते हैं नीचे दिए गए लिंक पर।