Recientemente Pengembang OpenSSH baru saja mengumumkan versi 8.0 itu alat keamanan ini untuk koneksi jarak jauh dengan protokol SSH itu hampir siap untuk diterbitkan.
Damian Miller, salah satu pengembang utama proyek, yang disebut komunitas pengguna alat ini agar mereka bisa mencobanya karena, dengan mata yang cukup, semua kesalahan dapat ditangkap tepat waktu.
Orang yang memutuskan untuk menggunakan versi baru ini akan dapat Tidak hanya akan membantu Anda menguji kinerja dan mendeteksi bug tanpa gagal, Anda juga akan dapat menemukan peningkatan baru dari berbagai pesanan.
Di tingkat keamanan, misalnya, langkah-langkah mitigasi untuk kelemahan protokol scp telah diperkenalkan dalam versi baru OpenSSH ini.
Dalam praktiknya, menyalin file dengan scp akan lebih aman di OpenSSH 8.0 karena menyalin file dari direktori jarak jauh ke direktori lokal akan menyebabkan scp memeriksa apakah file yang dikirim oleh server cocok dengan permintaan yang dikeluarkan.
Jika mekanisme ini tidak diterapkan, server penyerang dapat, secara teori, mencegat permintaan dengan mengirimkan file berbahaya, bukan yang awalnya diminta.
Namun, terlepas dari langkah-langkah mitigasi ini, OpenSSH tidak merekomendasikan penggunaan protokol scp, karena itu "ketinggalan jaman, tidak fleksibel, dan sulit untuk diselesaikan."
"Kami merekomendasikan menggunakan protokol yang lebih modern seperti sftp dan rsync untuk transfer file," Miller mengingatkan.
Apa yang akan ditawarkan versi baru OpenSSH ini?
Dalam paket «Berita» versi baru ini menyertakan sejumlah perubahan yang dapat mempengaruhi konfigurasi yang ada.
Misalnya di tingkat protokol scp yang disebutkan di atas, karena protokol ini didasarkan pada shell jarak jauh, tidak ada cara pasti bahwa file yang ditransfer dari klien cocok dengan file dari server.
Jika ada perbedaan antara klien umum dan ekstensi server, klien dapat menolak file dari server.
Untuk alasan ini, tim OpenSSH telah menyediakan scp dengan tanda "-T" yang baru yang menonaktifkan pemeriksaan sisi klien untuk memperkenalkan kembali serangan yang dijelaskan di atas.
Di tingkat sshd demond: tim OpenSSH menghapus dukungan untuk sintaks "host / port" yang tidak digunakan lagi.
Sebuah host / port yang dipisahkan garis miring ditambahkan pada tahun 2001 sebagai pengganti sintaks "host: port" untuk pengguna IPv6.
Sintaksis garis miring saat ini mudah dibingungkan dengan notasi CIDR, yang juga didukung oleh OpenSSH.
Hal baru lainnya
Oleh karena itu, disarankan untuk menghapus notasi garis miring dari ListenAddress dan PermitOpen. Selain perubahan ini, kami memiliki fitur baru yang ditambahkan ke OpenSSH 8.0. Ini termasuk:
Metode eksperimental pertukaran kunci untuk komputer kuantum yang telah muncul di versi ini.
Tujuan dari fungsi ini adalah untuk menyelesaikan masalah keamanan yang dapat muncul saat mendistribusikan kunci antar pihak, mengingat ancaman terhadap kemajuan teknologi, seperti peningkatan daya komputasi mesin, algoritma baru untuk komputer kuantum.
Untuk melakukan ini, metode ini bergantung pada solusi distribusi kunci kuantum (disingkat QKD).
Solusi ini menggunakan properti kuantum untuk bertukar informasi rahasia, seperti kunci kriptografi.
Pada prinsipnya, mengukur sistem kuantum mengubah sistem tersebut. Selain itu, jika seorang peretas mencoba mencegat kunci kriptografi yang dikeluarkan melalui implementasi QKD, itu pasti akan meninggalkan sidik jari yang dapat dideteksi untuk OepnSSH.
Selain itu, ukuran default kunci RSA yang telah diperbarui menjadi 3072 bit.
Dari berita lain yang dilaporkan adalah sebagai berikut:
- Menambahkan dukungan untuk kunci ECDSA di token PKCS
- izin "PKCS11Provide = none" untuk menimpa instance selanjutnya dari direktif PKCS11Provide di ssh_config.
- Pesan log ditambahkan untuk situasi di mana koneksi terputus setelah mencoba menjalankan perintah saat sshd_config ForceCommand = batasan internal-sftp berlaku.
Untuk lebih jelasnya, daftar lengkap tambahan lain dan perbaikan bug tersedia di halaman resmi.
Untuk mencoba versi baru ini, Anda dapat pergi ke tautan berikut.