Recentemente Gli sviluppatori di OpenSSH hanno appena annunciato quella versione 8.0 di questo strumento di sicurezza per la connessione remota con il protocollo SSH è quasi pronto per essere pubblicato.
Damiano Miller, uno dei principali sviluppatori del progetto, chiamato appunto community degli utenti di questo strumento così possono provarlo poiché, con abbastanza occhi, tutti gli errori possono essere colti in tempo.
Le persone che decideranno di utilizzare questa nuova versione potranno farlo Non solo ti aiuteranno a testare le prestazioni e rilevare bug senza fallire, ma sarai anche in grado di scoprire nuovi miglioramenti da vari ordini.
A livello di sicurezza, ad esempio, in questa nuova versione di OpenSSH sono state introdotte misure di mitigazione per le debolezze del protocollo scp.
In pratica, la copia di file con scp sarà più sicura in OpenSSH 8.0 perché la copia di file da una directory remota a una directory locale farà sì che scp controlli se i file inviati dal server corrispondono alla richiesta emessa.
Se questo meccanismo non fosse implementato, un server di attacco potrebbe, in teoria, intercettare la richiesta consegnando file dannosi invece di quelli originariamente richiesti.
Tuttavia, nonostante queste misure di mitigazione, OpenSSH sconsiglia l'uso del protocollo scp, perché è "obsoleto, inflessibile e difficile da risolvere".
"Consigliamo di utilizzare protocolli più moderni come sftp e rsync per i trasferimenti di file", ha ammonito Miller.
Cosa offrirà questa nuova versione di OpenSSH?
Nel pacchetto «Novità» di questa nuova versione include una serie di modifiche che possono influire sulle configurazioni esistenti.
Ad esempio, al livello di cui sopra del protocollo scp, poiché questo protocollo è basato su una shell remota, non esiste un modo sicuro che i file trasferiti dal client corrispondano a quelli dal server.
Se c'è una differenza tra il client generico e l'estensione del server, il client può rifiutare i file dal server.
Per questo motivo, il team di OpenSSH ha fornito a scp un nuovo flag "-T" che disabilita i controlli lato client per reintrodurre l'attacco descritto sopra.
Al livello sshd dimostrativo: il team di OpenSSH ha rimosso il supporto per la sintassi deprecata "host / porta".
Nel 2001 è stata aggiunta una porta / host separata da barre al posto della sintassi "host: porta" per gli utenti IPv6.
Oggi la sintassi della barra viene facilmente confusa con la notazione CIDR, supportata anche da OpenSSH.
Altre notizie
Pertanto, è consigliabile rimuovere la notazione barra in avanti da ListenAddress e PermitOpen. Oltre a queste modifiche, abbiamo nuove funzionalità aggiunte a OpenSSH 8.0. Questi includono:
Un metodo sperimentale di scambio di chiavi per computer quantistici che è apparso in questa versione.
Lo scopo di questa funzione è risolvere i problemi di sicurezza che possono sorgere durante la distribuzione delle chiavi tra le parti, date le minacce ai progressi tecnologici, come l'aumento della potenza di calcolo delle macchine, i nuovi algoritmi per i computer quantistici.
Per fare ciò, questo metodo si basa sulla soluzione di distribuzione delle chiavi quantistiche (QKD in breve).
Questa soluzione utilizza proprietà quantistiche per scambiare informazioni segrete, come una chiave crittografica.
In linea di principio, misurare un sistema quantistico altera il sistema. Inoltre, se un hacker cercasse di intercettare una chiave crittografica emessa tramite un'implementazione QKD, inevitabilmente lascerebbe impronte rilevabili per OepnSSH.
Inoltre, la dimensione predefinita della chiave RSA che è stata aggiornata a 3072 bit.
Delle altre notizie riportate sono le seguenti:
- Aggiunta del supporto per le chiavi ECDSA nei token PKCS
- autorizzazione di "PKCS11Provide = none" per sovrascrivere le istanze successive della direttiva PKCS11Provide in ssh_config.
- Viene aggiunto un messaggio di log per le situazioni in cui una connessione viene interrotta dopo aver tentato di eseguire un comando mentre è attivo un vincolo sshd_config ForceCommand = internal-sftp.
Per maggiori dettagli, un elenco completo di altre aggiunte e correzioni di bug è disponibile sulla pagina ufficiale.
Per provare questa nuova versione puoi andare al seguente collegamento.