După patru luni de dezvoltare, lansarea noua versiune a OpenSSH 8.2, care este o implementare deschisă pentru client și server pentru a lucra pe protocoalele SSH 2.0 și SFTP. A a îmbunătățirilor cheie la lansare din OpenSSH 8.2 feu capacitatea de a utiliza autentificarea cu doi factori folosind dispozitive care acceptă protocolul U2F dezvoltat de alianța FIDO.
U2F permite crearea de jetoane hardware cu preț redus pentru a confirma prezența fizică a utilizatorului, a cărui interacțiune este prin USB, Bluetooth sau NFC. Astfel de dispozitive sunt promovate ca un mijloc de autentificare cu doi factori pe site-uri, sunt deja compatibile cu toate browserele majore și sunt produse de diferiți producători, inclusiv Yubico, Feitian, Thetis și Kensington.
Pentru a interacționa cu dispozitive care confirmă prezența utilizatorului, OpenSSH a adăugat două noi tipuri de chei „ecdsa-sk” și „ed25519-sk”, care utilizează algoritmii de semnătură digitală ECDSA și Ed25519 în combinație cu hasha SHA-256.
Procedurile de interacțiune cu jetoanele au fost transferate într-o bibliotecă intermediară, care este încărcat prin analogie cu biblioteca pentru suportul PKCS # 11 și este o legătură pe biblioteca libfido2, care oferă mijloace de comunicare cu jetoane prin USB (FIDO U2F / CTAP 1 și FIDO 2.0 / CTAP sunt acceptate două).
Biblioteca intermediară libsk-libfido2 pregătită de dezvoltatorii OpenSSHși include în nucleul libfido2, precum și driverul HID pentru OpenBSD.
Pentru autentificare și generarea de chei, trebuie să specificați parametrul "SecurityKeyProvider" în configurație sau să setați variabila de mediu SSH_SK_PROVIDER, specificând calea către biblioteca externă libsk-libfido2.so.
Este posibil să creați openssh cu suport încorporat pentru biblioteca de nivel mediu iar în acest caz trebuie să setați parametrul „SecurityKeyProvider = internal”.
De asemenea, în mod implicit, atunci când se efectuează operațiuni cheie, este necesară o confirmare locală a prezenței fizice a utilizatorului, de exemplu, este sugerat să atingeți senzorul de pe jeton, ceea ce face dificilă efectuarea atacurilor la distanță pe sistemele cu un jeton conectat .
Pe de altă parte, noua versiune a OpenSSH a anunțat, de asemenea, următorul transfer în categoria algoritmilor învechi care utilizează hash SHA-1. datorită creșterii eficienței atacurilor de coliziune.
Pentru a ușura tranziția la noi algoritmi în OpenSSH într-o versiune viitoare, setarea UpdateHostKeys va fi activată implicit, care va comuta automat clienții către algoritmi mai fiabili.
Poate fi găsit și în OpenSSH 8.2, abilitatea de a vă conecta utilizând „ssh-rsa” este încă lăsată, dar acest algoritm este eliminat din lista CASignatureAlgorithms, care definește algoritmii valabili pentru semnarea digitală a noilor certificate.
În mod similar, algoritmul diffie-hellman-group14-sha1 a fost eliminat din algoritmii impliciți de schimb de chei.
Dintre celelalte modificări care se remarcă în această nouă versiune:
- O directivă include a fost adăugată la sshd_config, care permite conținutul altor fișiere să fie inclus în poziția curentă a fișierului de configurare.
- Directiva PublishAuthOptions a fost adăugată la sshd_config, combinând diferite opțiuni legate de autentificarea cheii publice.
- S-a adăugat opțiunea „-O write-attestation = / path” la ssh-keygen, care permite scrierea certificatelor de certificare FIDO suplimentare la generarea cheilor.
- Capacitatea de a exporta PEM pentru cheile DSA și ECDSA a fost adăugată la ssh-keygen.
- A fost adăugat un nou fișier executabil ssh-sk-helper folosit pentru a izola biblioteca de acces token FIDO / U2F.
Cum se instalează OpenSSH 8.2 pe Linux?
Pentru cei care sunt interesați să poată instala această nouă versiune de OpenSSH pe sistemele lor, deocamdată o pot face descărcând codul sursă al acestuia și efectuând compilarea pe computerele lor.
Acest lucru se datorează faptului că noua versiune nu a fost încă inclusă în depozitele principalelor distribuții Linux. Pentru a obține codul sursă pentru OpenSSH 8.2. Puteți face acest lucru din următorul link (la momentul scrierii, pachetul nu este încă disponibil pe oglinzi și menționează că poate dura încă câteva ore)
Descărcarea a fost efectuată, acum vom dezarhiva pachetul cu următoarea comandă:
tar -xvf openssh-8.2.tar.gz
Intrăm în directorul creat:
cd openssh-8.2
Y putem compila cu următoarele comenzi:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install