चार महीने के विकास के बाद, की रिहाई का नया संस्करण ओपनएसएसएच 8.2, जो SSH 2.0 और SFTP प्रोटोकॉल पर काम करने के लिए क्लाइंट और सर्वर का एक खुला कार्यान्वयन है। ए लॉन्च के समय प्रमुख सुधारों में से ओपनएसएसएच 8.2f सेदो-कारक प्रमाणीकरण का उपयोग करने की क्षमता उपकरणों का उपयोग करना जो U2F प्रोटोकॉल को सपोर्ट करता है FIDO गठबंधन द्वारा विकसित।
U2F उपयोगकर्ता की भौतिक उपस्थिति की पुष्टि करने के लिए कम लागत वाले हार्डवेयर टोकन के निर्माण की अनुमति देता है, जिनकी बातचीत यूएसबी, ब्लूटूथ या एनएफसी के माध्यम से होती है। ऐसे उपकरणों को साइटों पर दो-कारक प्रमाणीकरण के साधन के रूप में प्रचारित किया जाता है, जो पहले से ही सभी प्रमुख ब्राउज़रों द्वारा समर्थित हैं, और यूबिको, फ़ीटियन, थेटिस और केंसिंग्टन सहित विभिन्न निर्माताओं द्वारा उत्पादित किए जाते हैं।
उन उपकरणों के साथ बातचीत करने के लिए जो उपयोगकर्ता की उपस्थिति की पुष्टि करते हैं, OpenSSH ने दो नए कुंजी प्रकार "ecdsa-sk" और "ed25519-sk" जोड़े हैं, जो SHA-25519 हैश के साथ संयोजन में ECDSA और Ed256 डिजिटल हस्ताक्षर एल्गोरिदम का उपयोग करते हैं।
टोकन के साथ इंटरैक्ट करने की प्रक्रियाओं को एक मध्यवर्ती लाइब्रेरी में स्थानांतरित कर दिया गया है, जो PKCS#11 समर्थन के लिए लाइब्रेरी के अनुरूप लोड किया गया है और libfido2 लाइब्रेरी का एक लिंक है, जो USB पर टोकन के साथ संचार करने का साधन प्रदान करता है (FIDO U2F/CTAP 1 और FIDO 2.0/CTAP प्रोटोकॉल समर्थित हैं)। 2)।
libsk-libfido2 इंटरमीडिएट लाइब्रेरी OpenSSH डेवलपर्स द्वारा तैयार की गई हैऔर कर्नेल में libfido2, साथ ही OpenBSD के लिए HID ड्राइवर शामिल है।
प्रमाणीकरण और कुंजी निर्माण के लिए, "SecurityKeyProvider" पैरामीटर को कॉन्फ़िगरेशन में निर्दिष्ट किया जाना चाहिए या बाहरी लाइब्रेरी libsk-libfido2.so के लिए पथ निर्दिष्ट करते हुए पर्यावरण चर SSH_SK_PROVIDER सेट करना होगा।
मध्य परत लाइब्रेरी के लिए अंतर्निहित समर्थन के साथ ओपनएसएच बनाना संभव है और इस मामले में आपको "SecurityKeyProvider=internal" पैरामीटर सेट करने की आवश्यकता है।
इसके अलावा, डिफ़ॉल्ट रूप से, कुंजी संचालन करते समय, उपयोगकर्ता की भौतिक उपस्थिति की स्थानीय पुष्टि की आवश्यकता होती है, उदाहरण के लिए, टोकन पर सेंसर को छूने का सुझाव दिया जाता है, जिससे टोकन संलग्न होने वाले सिस्टम पर दूरस्थ हमले करना मुश्किल हो जाता है।
दूसरी ओर, का नया संस्करण ओपनएसएसएच ने SHA-1 हैश का उपयोग करके अप्रचलित एल्गोरिदम की श्रेणी में आगामी स्थानांतरण की भी घोषणा की। टकराव के हमलों की दक्षता में वृद्धि के कारण।
अगली रिलीज़ में ओपनएसएसएच में नए एल्गोरिदम में संक्रमण को आसान बनाने के लिए, UpdateHostKeys सेटिंग डिफ़ॉल्ट रूप से सक्षम हो जाएगी, जो स्वचालित रूप से ग्राहकों को अधिक विश्वसनीय एल्गोरिदम पर स्विच कर देगा।
इसे ओपनएसएसएच 8.2 में भी पाया जा सकता है, "ssh-rsa" का उपयोग करके कनेक्ट करने की क्षमता अभी भी बची हुई है, लेकिन इस एल्गोरिदम को CASignatureAlgorithms सूची से हटा दिया गया है, जो उन एल्गोरिदम को परिभाषित करता है जो नए प्रमाणपत्रों पर डिजिटल रूप से हस्ताक्षर करने के लिए मान्य हैं।
इसी तरह, डिफी-हेलमैन-ग्रुप14-शा1 एल्गोरिदम को डिफ़ॉल्ट कुंजी एक्सचेंज एल्गोरिदम से हटा दिया गया है।
अन्य परिवर्तनों में से जो इस नए संस्करण में हैं:
- sshd_config में एक शामिल निर्देश जोड़ा गया है, जो कॉन्फ़िगरेशन फ़ाइल की वर्तमान स्थिति में अन्य फ़ाइलों की सामग्री को शामिल करने की अनुमति देता है।
- सार्वजनिक कुंजी प्रमाणीकरण से संबंधित विभिन्न विकल्पों को मिलाकर, sshd_config में PublishAuthOptions निर्देश जोड़ा गया है।
- ssh-keygen में विकल्प "-O write-attestation=/path" जोड़ा गया, जो कुंजी बनाते समय अतिरिक्त FIDO सत्यापन प्रमाणपत्र लिखने की अनुमति देता है।
- DSA और ECDSA कुंजियों के लिए PEM निर्यात करने की क्षमता ssh-keygen में जोड़ी गई है।
- FIDO/U2F टोकन एक्सेस लाइब्रेरी को अलग करने के लिए उपयोग की जाने वाली एक नई निष्पादन योग्य फ़ाइल ssh-sk-helper जोड़ी गई।
लिनक्स पर ओपनएसएसएच 8.2 कैसे स्थापित करें?
जो लोग अपने सिस्टम पर OpenSSH के इस नए संस्करण को स्थापित करने में सक्षम होने के लिए इच्छुक हैं, अभी के लिए वे ऐसा कर सकते हैं इस के सोर्स कोड को डाउनलोड करना और अपने कंप्यूटर पर संकलन प्रदर्शन कर रहे हैं।
ऐसा इसलिए है क्योंकि नए संस्करण को अभी तक मुख्य लिनक्स वितरण के रिपॉजिटरी में शामिल नहीं किया गया है। ओपनएसएसएच 8.2 के लिए स्रोत कोड प्राप्त करने के लिए। आप इससे ऐसा कर सकते हैं निम्नलिखित लिंक (लेखन के समय पैकेज अभी तक दर्पण पर उपलब्ध नहीं है और उन्होंने उल्लेख किया है कि इसमें कुछ और घंटे लग सकते हैं)
डाउनलोड किया, अब हम निम्नलिखित कमांड के साथ पैकेज को अनज़िप करने जा रहे हैं:
tar -xvf openssh-8.2.tar.gz
हम निर्मित निर्देशिका दर्ज करते हैं:
cd openssh-8.2
Y हम साथ संकलन कर सकते हैं निम्नलिखित आदेश:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install