Dopo sei mesi di sviluppo La versione 8.1 di OpenSSH è stata svelata, che è un insieme di applicazioni che consentono comunicazioni crittografate su una rete, utilizzando il protocollo SSH, come implementazione client e server open source per lavorare su SSH 2.0 e SFTP.
Questa nuova versione di OpenSSH 8.1 include alcuni miglioramenti, Ma uno dei punti salienti è la correzione della vulnerabilità che colpisce ssh, sshd, ssh-add e ssh-keygen. Il problema è presente nel codice di analisi della chiave privata con tipo XMSS e consente all'attaccante di avviare un overflow. La vulnerabilità è contrassegnata come sfruttabile, ma non applicabile, poiché il supporto della chiave XMSS si riferisce a funzionalità sperimentali disabilitate per impostazione predefinita (nella versione portatile, autoconf non fornisce nemmeno un'opzione per abilitare XMSS).
Principali novità di OpenSSH 8.1
In questa nuova versione di OpenSSH 8.1 se ha aggiunto un codice a ssh, sshd e ssh-agent che impedisce il recupero della chiave privata situata nella RAM a seguito di attacchi a canali di terze parti come Spettro, fusione, RowHammer e RAMBleed.
Le chiavi private ora vengono crittografate quando vengono caricate in memoria e decrittografate solo sul posto di utilizzo, il resto del tempo rimanente viene crittografato. Con questo approccio, per ripristinare con successo la chiave privata, l'autore dell'attacco deve prima ripristinare la chiave intermedia di 16K generata casualmente per crittografare la chiave primaria, il che è improbabile con il tasso di errore di ripristino tipico degli attacchi moderni.
Un altro importante cambiamento che risalta è ssh-keygen che è stato aggiunto come supporto sperimentale per uno schema semplificato per la creazione e la verifica delle firme digitali. Le firme digitali possono essere create utilizzando chiavi SSH ordinarie memorizzate su disco o in ssh-agent e verificate da un elenco di chiavi valide simili alle chiavi autorizzate.
Le informazioni sullo spazio dei nomi sono incorporate nella firma digitale per evitare confusione quando vengono applicate a più campi (ad esempio, per e-mail e file).
Ssh-keygen è abilitato per impostazione predefinita per utilizzare l'algoritmo rsa-sha2-512 durante la verifica dei certificati con una firma digitale basata sulla chiave RSA (quando si lavora in modalità CA).
Questi certificati non sono compatibili con le versioni precedenti a OpenSSH 7.2 (Per garantire la compatibilità, sovrascrivi il tipo di algoritmo, ad esempio chiamando "ssh-keygen -t ssh-rsa -s ...").
In ssh, l'espressione ProxyCommand supporta l'espansione di espansione "% n" (il nome host specificato nella barra degli indirizzi).
Negli elenchi di algoritmi di crittografia per ssh e sshd, il simbolo "^" atime può essere utilizzato per inserire gli algoritmi di default. Ssh-keygen fornisce l'output di un commento allegato a una chiave quando una chiave pubblica viene recuperata da una privata.
Ssh-keygen aggiunge la possibilità di utilizzare il flag -v quando si eseguono operazioni di ricerca delle chiavi (ad esempio, ssh-keygen -vF host), la cui indicazione porta alla visualizzazione di una chiara firma dell'host.
Infine un'altra novità eccezionale è l'aggiunta della possibilità di utilizzare PKCS8 come formato alternativo per l'archiviazione delle chiavi private Sul disco. Per impostazione predefinita, il formato PEM continua a essere utilizzato e PKCS8 può essere utile per la compatibilità con applicazioni di terze parti.
Come installare OpenSSH 8.1 su Linux?
Per coloro che sono interessati a poter installare questa nuova versione di OpenSSH sui propri sistemi, per ora possono farlo scaricando il codice sorgente di questo e eseguire la compilazione sui propri computer.
Questo perché la nuova versione non è stata ancora inclusa nei repository delle principali distribuzioni Linux. Per ottenere il codice sorgente di OpenSSH 8.1, è sufficiente aprire un terminale e in esso digiteremo il seguente comando:
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
Fatto il download, ora decomprimeremo il pacchetto con il seguente comando:
tar -xvf openssh-8.1p1.tar.gz
Entriamo nella directory creata:
cd openssh-8.1p1.tar.gz
Y possiamo compilare con i seguenti comandi:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install