Na vier maanden van ontwikkeling is de lancering van de nieuwe versie van OpenSSH 8.2, wat een open client- en serverimplementatie is om te werken op de SSH 2.0- en SFTP-protocollen. EEN belangrijke verbeteringen bij de lancering door OpenSSH 8.2 feu de mogelijkheid om tweefactorauthenticatie te gebruiken apparaten gebruiken die het U2F-protocol ondersteunen ontwikkeld door de FIDO-alliantie.
Met U2F kunnen goedkope hardwaretokens worden gemaakt om de fysieke aanwezigheid van de gebruiker te bevestigen, wiens interactie plaatsvindt via USB, Bluetooth of NFC. Dergelijke apparaten worden gepromoot als een middel voor tweefactorauthenticatie op de sites, zijn al compatibel met alle grote browsers en worden geproduceerd door verschillende fabrikanten, waaronder Yubico, Feitian, Thetis en Kensington.
Om te communiceren met apparaten die de aanwezigheid van de gebruiker bevestigen, OpenSSH heeft twee nieuwe soorten sleutels toegevoegd "ecdsa-sk" en "ed25519-sk", die de ECDSA- en Ed25519-algoritmen voor digitale handtekeningen gebruiken in combinatie met de SHA-256-hash.
De procedures voor interactie met de tokens zijn overgebracht naar een tussenliggende bibliotheek, die wordt geladen naar analogie met de bibliotheek voor PKCS # 11-ondersteuning en is een link naar de libfido2-bibliotheek, die middelen biedt om te communiceren met tokens via USB (FIDO U2F / CTAP 1- en FIDO 2.0 / CTAP-protocollen worden ondersteund twee).
De tussenliggende bibliotheek van libsk-libfido2 opgesteld door de OpenSSH-ontwikkelaarsen bevat in de kernel libfido2, evenals de HID-driver voor OpenBSD.
Voor authenticatie en sleutelgeneratie moet u de parameter "SecurityKeyProvider" in de configuratie specificeren of de omgevingsvariabele SSH_SK_PROVIDER instellen, waarbij u het pad naar de externe bibliotheek libsk-libfido2.so specificeert.
Het is mogelijk om openssh te bouwen met ingebouwde ondersteuning voor de middelste laagbibliotheek en in dit geval moet u de parameter "SecurityKeyProvider = internal" instellen.
Ook is standaard, wanneer sleutelbewerkingen worden uitgevoerd, een lokale bevestiging van de fysieke aanwezigheid van de gebruiker vereist, het wordt bijvoorbeeld aanbevolen om de sensor op het token aan te raken, wat het moeilijk maakt om aanvallen op afstand uit te voeren op systemen met een verbonden token .
Aan de andere kant is de nieuwe versie van OpenSSH kondigde ook de aanstaande overgang aan naar de categorie van verouderde algoritmen die SHA-1-hashing gebruiken. vanwege een toename van de efficiëntie van aanvaringsaanvallen.
Om de overgang naar nieuwe algoritmen in OpenSSH in een aanstaande release te vergemakkelijken, de UpdateHostKeys-instelling is standaard ingeschakeld, die automatisch clients overschakelt naar betrouwbaardere algoritmen.
Het is ook te vinden in OpenSSH 8.2, de mogelijkheid om verbinding te maken met "ssh-rsa" is nog steeds over, maar dit algoritme wordt verwijderd uit de CASignatureAlgorithms-lijst, die de algoritmen definieert die geldig zijn voor het digitaal ondertekenen van nieuwe certificaten.
Evenzo is het diffie-hellman-group14-sha1-algoritme verwijderd uit de standaard algoritmen voor sleuteluitwisseling.
Van de andere veranderingen die opvallen in deze nieuwe versie:
- Er is een include-instructie toegevoegd aan sshd_config, waarmee de inhoud van andere bestanden op de huidige positie van het configuratiebestand kan worden opgenomen.
- De PublishAuthOptions-instructie is toegevoegd aan sshd_config, waarin verschillende opties zijn gecombineerd met betrekking tot openbare sleutelauthenticatie.
- Optie "-O write-attestation = / path" toegevoegd aan ssh-keygen, waarmee extra FIDO-certificatiecertificaten kunnen worden geschreven bij het genereren van sleutels.
- De mogelijkheid om PEM voor DSA- en ECDSA-sleutels te exporteren is toegevoegd aan ssh-keygen.
- Een nieuw uitvoerbaar bestand ssh-sk-helper toegevoegd dat wordt gebruikt om de FIDO / U2F-token-toegangsbibliotheek te isoleren.
Hoe installeer ik OpenSSH 8.2 op Linux?
Voor degenen die geïnteresseerd zijn om deze nieuwe versie van OpenSSH op hun systemen te kunnen installeren, voor nu kunnen ze het doen het downloaden van de broncode van deze en het uitvoeren van de compilatie op hun computers.
Dit komt doordat de nieuwe versie nog niet is opgenomen in de repositories van de belangrijkste Linux-distributies. Om de broncode voor OpenSSH 8.2 te krijgen. U kunt dit doen vanuit de volgende koppeling (op het moment van schrijven is het pakket nog niet beschikbaar op de mirrors en vermelden ze dat het nog een paar uur kan duren)
Klaar met downloaden, nu gaan we het pakket uitpakken met het volgende commando:
tar -xvf openssh-8.2.tar.gz
We gaan de aangemaakte directory binnen:
cd openssh-8.2
Y waarmee we kunnen compileren de volgende commando's:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install