XNUMXか月の開発の後、 の新しいバージョン OpenSSH 8.2、 これは、SSH2.0およびSFTPプロトコルで動作するオープンクライアントおよびサーバー実装です。 A 発売時の主な機能強化 OpenSSH8.2によるfeu二要素認証を使用する機能 デバイスの使用 U2Fプロトコルをサポートする FIDOアライアンスによって開発されました。
U2Fを使用すると、低コストのハードウェアトークンを作成して、USB、Bluetooth、またはNFCを介した対話を行うユーザーの物理的な存在を確認できます。 このようなデバイスは、サイトでのXNUMX要素認証の手段として宣伝されており、すでにすべての主要なブラウザーと互換性があり、Yubico、Feitian、Thetis、Kensingtonなどのさまざまなメーカーによって製造されています。
ユーザーの存在を確認するデバイスと対話するには、 OpenSSHは、25519つの新しいタイプのキー「ecdsa-sk」と「edXNUMX-sk」を追加しました、ECDSAおよびEd25519デジタル署名アルゴリズムをSHA-256ハッシュと組み合わせて使用します。
トークンを操作するための手順は、中間ライブラリに転送されました。 これは、PKCS#11サポート用のライブラリとの類推によってロードされ、USB経由でトークンと通信する手段を提供するlibfido2ライブラリ上のリンクです(FIDO U2F / CTAP1およびFIDO2.0 / CTAPプロトコルは2つサポートされています)。
OpenSSH開発者によって準備されたlibsk-libfido2中間ライブラリカーネルlibfido2、およびOpenBSD用のHIDドライバーに含まれています。
認証と鍵の生成については、構成で「SecurityKeyProvider」パラメーターを指定するか、環境変数SSH_SK_PROVIDERを設定して、外部ライブラリlibsk-libfido2.soへのパスを指定する必要があります。
中間層ライブラリの組み込みサポートを使用してopensshを構築することが可能です この場合、パラメータ「SecurityKeyProvider = internal」を設定する必要があります。
また、デフォルトでは、キー操作を実行するときに、ユーザーの物理的な存在をローカルで確認する必要があります。たとえば、トークンのセンサーに触れることをお勧めします。これにより、トークンが接続されているシステムに対してリモート攻撃を実行することが困難になります。 。
一方、新しいバージョンの OpenSSHはまた、SHA-1ハッシュを使用する廃止されたアルゴリズムのカテゴリへの今後の移行を発表しました。 衝突攻撃の効率が向上したためです。
今後のリリースでOpenSSHの新しいアルゴリズムへの移行を容易にするために、 UpdateHostKeys設定はデフォルトで有効になります、クライアントをより信頼性の高いアルゴリズムに自動的に切り替えます。
OpenSSH8.2にもあります。 「ssh-rsa」を使用して接続する機能はまだ残っています、ただし、このアルゴリズムはCASignatureAlgorithmsリストから削除されます。このリストは、新しい証明書にデジタル署名するために有効なアルゴリズムを定義します。
同様に、diffie-hellman-group14-sha1アルゴリズムは、デフォルトの鍵交換アルゴリズムから削除されました。
この新しいバージョンで際立っている他の変更の中で:
- includeディレクティブがsshd_configに追加されました。これにより、他のファイルの内容を構成ファイルの現在の位置に含めることができます。
- PublishAuthOptionsディレクティブがsshd_configに追加され、公開鍵認証に関連するさまざまなオプションが組み合わされています。
- ssh-keygenに「-Owrite-attestation = / path」オプションを追加しました。これにより、キーの生成時に追加のFIDO認証証明書を書き込むことができます。
- DSAおよびECDSAキーのPEMをエクスポートする機能がssh-keygenに追加されました。
- FIDO / U2Fトークンアクセスライブラリを分離するために使用される新しい実行可能ファイルssh-sk-helperを追加しました。
LinuxにOpenSSH8.2をインストールするにはどうすればよいですか?
この新しいバージョンのOpenSSHをシステムにインストールできるようにすることに関心がある人は、 今のところ彼らはそれを行うことができます これのソースコードをダウンロードして コンピューターでコンパイルを実行します。
これは、新しいバージョンがメインのLinuxディストリビューションのリポジトリにまだ含まれていないためです。 OpenSSH8.2のソースコードを取得します。 あなたはからこれを行うことができます 次のリンク (執筆時点では、パッケージはまだミラーで利用できず、さらに数時間かかる可能性があると言われています)
ダウンロードを完了し、 次に、次のコマンドを使用してパッケージを解凍します。
tar -xvf openssh-8.2.tar.gz
作成したディレクトリに入ります。
cd openssh-8.2
Y でコンパイルできます 次のコマンド:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install