Después de seis meses de desarrollo se ha presentado el lanzamiento de OpenSSH 8.1, la cual es un conjunto de aplicaciones que permiten realizar comunicaciones cifradas a través de una red, usando el protocolo SSH, como una implementación de servidor y cliente de código abierto para trabajar en SSH 2.0 y SFTP.
Esta nueva versión de OpenSSH 8.1 llega con algunas mejoras, pero uno de los puntos destacados es la solución de la vulnerabilidad que afecta a ssh, sshd, ssh-add y ssh-keygen. El problema está presente en el código de análisis de clave privada con el tipo XMSS y permite al atacante iniciar un desbordamiento. La vulnerabilidad está marcada como explotable, pero no aplicable, ya que el soporte para claves XMSS se refiere a características experimentales que están deshabilitadas por defecto (en la versión portátil, autoconf ni siquiera proporciona una opción para habilitar XMSS).
Principales novedades de OpenSSH 8.1
En esta nueva versión de OpenSSH 8.1 se ha agregado un código a ssh, sshd y ssh-agent que impide la recuperación de la clave privada ubicada en la RAM como resultado de ataques a canales de terceros como Spectre, Meltdown, RowHammer y RAMBleed.
Las claves privadas ahora se cifran cuando se cargan en la memoria y se descifran solo en el momento del uso, el resto del tiempo restante se cifra. Con este enfoque, para recuperar con éxito la clave privada, el atacante debe restaurar primero la clave intermedia de 16Kb generada aleatoriamente para encriptar la clave primaria, lo cual es poco probable con la tasa de error de recuperación que es típica de los ataques modernos.
Otro cambio importante que se destaca es ssh-keygen el cual fue añadido como soporte experimental para un esquema simplificado de creación y verificación de firmas digitales. Las firmas digitales se pueden crear utilizando claves SSH ordinarias almacenadas en el disco o en ssh-agent y verificadas mediante una lista de claves válidas similares a las claves autorizadas.
La información sobre el espacio de nombres está incrustada en la firma digital para evitar confusiones cuando se aplica en varios campos (por ejemplo, para correo electrónico y archivos).
Ssh-keygen está activado de forma predeterminada para usar el algoritmo rsa-sha2-512 al verificar certificados con una firma digital basada en la clave RSA (cuando se trabaja en modo CA).
Dichos certificados son incompatibles con versiones anteriores a OpenSSH 7.2 (para garantizar la compatibilidad, anule el tipo de algoritmo, por ejemplo, llamando «ssh-keygen -t ssh-rsa -s …»).
En ssh, la expresión ProxyCommand admite la expansión de expansión «% n» (el nombre de host especificado en la barra de direcciones).
En las listas de algoritmos de cifrado para ssh y sshd, el símbolo «^» ahora se puede usar para insertar los algoritmos predeterminados. Ssh-keygen proporciona la salida de un comentario adjunto a una clave cuando se recupera una clave pública de una privada.
Ssh-keygen agrega la capacidad de usar el indicador -v al realizar operaciones de búsqueda de claves (por ejemplo, ssh-keygen -vF host), cuya indicación lleva a la visualización de una firma de host clara.
Finalmente otra novedades destacada es la adición de la capacidad de utilizar PKCS8 como formato alternativo para almacenar claves privadas en el disco. De manera predeterminada, el formato PEM continúa utilizándose y PKCS8 puede ser útil para lograr la compatibilidad con aplicaciones de terceros.
¿Como instalar OpenSSH 8.1 en Linux?
Para quienes estén interesados en poder instalar esta nueva versión de OpenSSH en sus sistemas, de momento podrán hacerlo descargando el código fuente de este y realizando la compilación en sus equipos.
Esto es debido a que la nueva versión aún no se ha incluido dentro de los repositorios de las principales distribuciones de Linux. Para obtener el código fuente de OpenSSH 8.1, basta con que abramos una terminal y en ella vamos a teclear el siguiente comando:
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
Hecha la descarga, ahora vamos a descomprimir el paquete con el siguiente comando:
tar -xvf openssh-8.1p1.tar.gz
Entramos al directorio creado:
cd openssh-8.1p1.tar.gz
Y podremos realizar la compilación con los siguientes comandos:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install