recent Dezvoltatorii OpenSSH tocmai au anunțat că versiunea 8.0 a acestui instrument de securitate pentru conectarea la distanță cu protocolul SSH este aproape gata de publicare.
Damian Miller, unul dintre principalii dezvoltatori ai proiectului, numit tocmai comunitatea de utilizatori a acestui instrument ca să poată încerca deoarece, cu destui ochi, toate erorile pot fi surprinse la timp.
Oamenii care decid să folosească această nouă versiune vor putea Nu numai că vă vor ajuta să testați performanța și să detectați erorile fără a da greș, dar veți putea descoperi noi îmbunătățiri din diferite comenzi.
La nivel de securitate, de exemplu, măsuri de atenuare pentru deficiențele protocolului scp au fost introduse în această nouă versiune a OpenSSH.
În practică, copierea fișierelor cu scp va fi mai sigură în OpenSSH 8.0 deoarece copierea fișierelor dintr-un director la distanță într-un director local va face ca scp să verifice dacă fișierele trimise de server se potrivesc cu cererea emisă.
Dacă acest mecanism nu ar fi implementat, un server de atac ar putea, teoretic, să intercepteze cererea prin livrarea de fișiere rău intenționate în locul celor solicitate inițial.
Cu toate acestea, în ciuda acestor măsuri de atenuare, OpenSSH nu recomandă utilizarea protocolului scp, deoarece este „depășit, inflexibil și greu de rezolvat”.
„Vă recomandăm să folosiți protocoale mai moderne precum sftp și rsync pentru transferuri de fișiere”, a avertizat Miller.
Ce va oferi această nouă versiune a OpenSSH?
În pachetul „Știri” al acestei noi versiuni include o serie de modificări care pot afecta configurațiile existente.
De exemplu, la nivelul menționat mai sus al protocolului scp, deoarece acest protocol se bazează pe un shell de la distanță, nu există nicio modalitate sigură ca fișierele transferate de la client să se potrivească cu cele de pe server.
Dacă există o diferență între clientul generic și extensia de server, clientul poate respinge fișierele de pe server.
Din acest motiv, echipa OpenSSH a furnizat scp un nou flag "-T" care dezactivează verificările din partea clientului pentru a reintroduce atacul descris mai sus.
La nivelul demond sshd: echipa OpenSSH a eliminat suportul pentru sintaxa „gazdă / port” depreciată.
O gazdă / port separată de slash a fost adăugată în 2001 în locul sintaxei „host: port” pentru utilizatorii IPv6.
Astăzi sintaxa slash este ușor confundată cu notația CIDR, care este, de asemenea, compatibilă cu OpenSSH.
Alte noutăți
Prin urmare, este recomandabil să eliminați notația slash directă din ListenAddress și PermitOpen. Pe lângă aceste modificări, avem noi caracteristici adăugate la OpenSSH 8.0. Acestea includ:
O metodă experimentală de schimb de chei pentru computerele cuantice care a apărut în această versiune.
Scopul acestei funcții este de a rezolva problemele de securitate care pot apărea la distribuirea cheilor între părți, având în vedere amenințările la adresa progreselor tehnologice, precum creșterea puterii de calcul a mașinilor, noi algoritmi pentru computerele cuantice.
Pentru a face acest lucru, această metodă se bazează pe soluția cuantică de distribuție a cheilor (prescurtată QKD în engleză).
Această soluție utilizează proprietăți cuantice pentru a face schimb de informații secrete, cum ar fi o cheie criptografică.
În principiu, măsurarea unui sistem cuantic modifică sistemul. De asemenea, dacă un hacker ar încerca să intercepteze o cheie criptografică emisă printr-o implementare QKD, inevitabil ar lăsa amprente digitale detectabile pentru OepnSSH.
În plus, dimensiunea implicită a cheii RSA care a fost actualizată la 3072 biți.
Dintre celelalte știri raportate sunt următoarele:
- Adăugarea de suport pentru cheile ECDSA în jetoanele PKCS
- permisiunea „PKCS11Provide = none” pentru a suprascrie instanțele ulterioare ale directivei PKCS11Provide în ssh_config.
- Se adaugă un mesaj jurnal pentru situațiile în care o conexiune este întreruptă după ce ați încercat să executați o comandă în timp ce o constrângere sshd_config ForceCommand = internal-sftp este în vigoare.
Pentru mai multe detalii, o listă completă cu alte adăugiri și remedieri de erori este disponibilă pe pagina oficială.
Pentru a încerca această nouă versiune, puteți merge la următorul link.