Dopo quattro mesi di sviluppo, il lancio di la nuova versione di OpenSSH 8.2, che è un'implementazione client e server aperta per lavorare sui protocolli SSH 2.0 e SFTP. UN di miglioramenti chiave al momento del lancio di OpenSSH 8.2 feu la possibilità di utilizzare l'autenticazione a due fattori utilizzando dispositivi che supportano il protocollo U2F sviluppato dall'alleanza FIDO.
U2F consente la creazione di token hardware a basso costo per confermare la presenza fisica dell'utente, la cui interazione avviene tramite USB, Bluetooth o NFC. Tali dispositivi sono promossi come mezzo di autenticazione a due fattori sui siti, sono già compatibili con tutti i principali browser e sono prodotti da vari produttori, tra cui Yubico, Feitian, Thetis e Kensington.
Per interagire con i dispositivi che confermano la presenza dell'utente, OpenSSH ha aggiunto due nuovi tipi di chiavi "ecdsa-sk" e "ed25519-sk", che utilizzano gli algoritmi di firma digitale ECDSA e Ed25519 in combinazione con l'hash SHA-256.
Le procedure per interagire con i token sono state trasferite in una libreria intermedia, che viene caricato per analogia con la libreria per il supporto PKCS # 11 ed è un collegamento alla libreria libfido2, che fornisce i mezzi per comunicare con i token tramite USB (i protocolli FIDO U2F / CTAP 1 e FIDO 2.0 / CTAP sono supportati due).
La libreria intermedia libsk-libfido2 preparata dagli sviluppatori di OpenSSHe include nel kernel libfido2, così come il driver HID per OpenBSD.
Per l'autenticazione e la generazione della chiave, è necessario specificare il parametro "SecurityKeyProvider" nella configurazione o impostare la variabile d'ambiente SSH_SK_PROVIDER, specificando il percorso della libreria esterna libsk-libfido2.so.
È possibile creare openssh con il supporto integrato per la libreria del livello intermedio e in questo caso è necessario impostare il parametro "SecurityKeyProvider = internal".
Inoltre, per impostazione predefinita, quando vengono eseguite operazioni chiave, è richiesta una conferma locale della presenza fisica dell'utente, ad esempio, si suggerisce di toccare il sensore sul token, il che rende difficile eseguire attacchi remoti su sistemi con un token connesso .
D'altra parte, la nuova versione di OpenSSH ha anche annunciato l'imminente trasferimento nella categoria degli algoritmi obsoleti che utilizzano l'hashing SHA-1. a causa di un aumento dell'efficienza degli attacchi di collisione.
Per facilitare la transizione a nuovi algoritmi in OpenSSH in una prossima versione, l'impostazione UpdateHostKeys sarà abilitata per impostazione predefinita, che farà passare automaticamente i client ad algoritmi più affidabili.
Può anche essere trovato in OpenSSH 8.2, la possibilità di connettersi usando "ssh-rsa" è ancora rimasta, ma questo algoritmo viene rimosso dall'elenco CASignatureAlgorithms, che definisce gli algoritmi validi per la firma digitale di nuovi certificati.
Allo stesso modo, l'algoritmo diffie-hellman-group14-sha1 è stato rimosso dagli algoritmi di scambio delle chiavi predefiniti.
Tra le altre modifiche che si distinguono in questa nuova versione:
- Una direttiva include è stata aggiunta a sshd_config, che consente di includere il contenuto di altri file nella posizione corrente del file di configurazione.
- La direttiva PublishAuthOptions è stata aggiunta a sshd_config, combinando diverse opzioni relative all'autenticazione con chiave pubblica.
- Aggiunta l'opzione "-O write-attestation = / path" a ssh-keygen, che consente la scrittura di certificati di certificazione FIDO aggiuntivi durante la generazione delle chiavi.
- La possibilità di esportare PEM per chiavi DSA ed ECDSA è stata aggiunta a ssh-keygen.
- Aggiunto un nuovo file eseguibile ssh-sk-helper utilizzato per isolare la libreria di accesso ai token FIDO / U2F.
Come installare OpenSSH 8.2 su Linux?
Per coloro che sono interessati a poter installare questa nuova versione di OpenSSH sui propri sistemi, per ora possono farlo scaricando il codice sorgente di questo e eseguire la compilazione sui propri computer.
Questo perché la nuova versione non è stata ancora inclusa nei repository delle principali distribuzioni Linux. Per ottenere il codice sorgente per OpenSSH 8.2. Puoi farlo da seguente link (al momento in cui scrivo il pacchetto non è ancora disponibile sui mirror e dicono che potrebbero volerci qualche ora in più)
Fatto il download, ora decomprimeremo il pacchetto con il seguente comando:
tar -xvf openssh-8.2.tar.gz
Entriamo nella directory creata:
cd openssh-8.2
Y possiamo compilare con i seguenti comandi:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install