Setelah empat bulan pengembangan, peluncuran versi baru dari BukaSSH 8.2, yang merupakan implementasi klien dan server terbuka untuk bekerja pada protokol SSH 2.0 dan SFTP. SEBUAH peningkatan utama saat diluncurkan dengan OpenSSH 8.2 feu kemampuan untuk menggunakan otentikasi dua faktor menggunakan perangkat yang mendukung protokol U2F dikembangkan oleh aliansi FIDO.
U2F memungkinkan pembuatan token perangkat keras berbiaya rendah untuk mengonfirmasi keberadaan fisik pengguna, yang interaksinya melalui USB, Bluetooth, atau NFC. Perangkat semacam itu dipromosikan sebagai alat otentikasi dua faktor di situs, sudah kompatibel dengan semua browser utama, dan diproduksi oleh berbagai produsen, termasuk Yubico, Feitian, Thetis, dan Kensington.
Untuk berinteraksi dengan perangkat yang mengonfirmasi keberadaan pengguna, OpenSSH telah menambahkan dua jenis kunci baru "ecdsa-sk" dan "ed25519-sk", yang menggunakan algoritme tanda tangan digital ECDSA dan Ed25519 yang dikombinasikan dengan hash SHA-256.
Prosedur untuk berinteraksi dengan token telah ditransfer ke perpustakaan perantara, yang dimuat dengan analogi dengan pustaka untuk dukungan PKCS # 11 dan merupakan tautan pada pustaka libfido2, yang menyediakan sarana untuk berkomunikasi dengan token melalui USB (protokol FIDO U2F / CTAP 1 dan FIDO 2.0 / CTAP didukung dua).
Pustaka perantara libsk-libfido2 disiapkan oleh pengembang OpenSSHdan termasuk dalam kernel libfido2, serta driver HID untuk OpenBSD.
Untuk otentikasi dan pembuatan kunci, Anda harus menentukan parameter "SecurityKeyProvider" dalam konfigurasi atau menyetel variabel lingkungan SSH_SK_PROVIDER, menentukan jalur ke perpustakaan eksternal libsk-libfido2.so.
Dimungkinkan untuk membangun openssh dengan dukungan built-in untuk pustaka lapisan tengah dan dalam hal ini Anda perlu menyetel parameter "SecurityKeyProvider = internal".
Selain itu, secara default, ketika operasi kunci dilakukan, konfirmasi lokal dari keberadaan fisik pengguna diperlukan, misalnya, disarankan untuk menyentuh sensor pada token, yang membuatnya sulit untuk melakukan serangan jarak jauh pada sistem dengan token yang terhubung. .
Di sisi lain, versi baru OpenSSH juga mengumumkan transfer mendatang ke kategori algoritme usang yang menggunakan hashing SHA-1. karena peningkatan efisiensi serangan tabrakan.
Untuk memudahkan transisi ke algoritme baru di OpenSSH dalam rilis mendatang, pengaturan UpdateHostKeys akan diaktifkan secara default, yang secara otomatis akan mengalihkan klien ke algoritme yang lebih andal.
Itu juga dapat ditemukan di OpenSSH 8.2, kemampuan untuk terhubung menggunakan "ssh-rsa" masih tersisa, tetapi algoritme ini dihapus dari daftar CASignatureAlgorithms, yang mendefinisikan algoritme yang valid untuk menandatangani sertifikat baru secara digital.
Demikian pula, algoritme diffie-hellman-group14-sha1 telah dihapus dari algoritme pertukaran kunci default.
Dari perubahan lain yang menonjol di versi baru ini:
- Direktif include telah ditambahkan ke sshd_config, yang memungkinkan konten file lain dimasukkan ke dalam posisi file konfigurasi saat ini.
- Direktif PublishAuthOptions telah ditambahkan ke sshd_config, menggabungkan berbagai opsi yang terkait dengan otentikasi kunci publik.
- Menambahkan opsi "-O write-attestation = / path" ke ssh-keygen, yang memungkinkan sertifikat sertifikasi FIDO tambahan ditulis saat membuat kunci.
- Kemampuan untuk mengekspor PEM untuk kunci DSA dan ECDSA telah ditambahkan ke ssh-keygen.
- Menambahkan file baru yang dapat dijalankan ssh-sk-helper yang digunakan untuk mengisolasi pustaka akses token FIDO / U2F.
Bagaimana cara menginstal OpenSSH 8.2 di Linux?
Bagi mereka yang tertarik untuk dapat menginstal OpenSSH versi baru ini di sistem mereka, untuk saat ini mereka bisa melakukannya mengunduh kode sumber ini dan melakukan kompilasi di komputer mereka.
Ini karena versi baru belum dimasukkan ke dalam repositori distribusi Linux utama. Untuk mendapatkan kode sumber untuk OpenSSH 8.2. Anda dapat melakukan ini dari link berikut (pada saat penulisan, paket belum tersedia di mirror dan mereka menyebutkan bahwa mungkin perlu beberapa jam lagi)
Selesai mengunduh, sekarang kita akan mengekstrak paket dengan perintah berikut:
tar -xvf openssh-8.2.tar.gz
Kami memasuki direktori yang dibuat:
cd openssh-8.2
Y kita dapat mengkompilasi dengan perintah berikut:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install