После шести месяцев разработки Представлен релиз OpenSSH 8.1, представляющий собой набор приложений которые позволяют зашифрованную связь по сети с использованием протокола SSH, как реализация клиента и сервера с открытым исходным кодом для работы по SSH 2.0 и SFTP.
Эта новая версия OpenSSH 8.1 содержит некоторые улучшения, Но одним из основных моментов является исправление уязвимости, затрагивающей ssh, sshd, ssh-add и ssh-keygen. Проблема присутствует в коде синтаксического анализа закрытого ключа с типом XMSS и позволяет злоумышленнику инициировать переполнение. Уязвимость помечена как эксплуатируемая, но не применима., поскольку поддержка ключа XMSS относится к экспериментальным функциям, которые по умолчанию отключены (в портативной версии autoconf даже не предоставляет возможность включить XMSS).
Основные новые возможности OpenSSH 8.1
В этой новой версии OpenSSH 8.1 se добавил в ssh, sshd и ssh-agent код, который предотвращает восстановление закрытого ключа, находящегося в ОЗУ. в результате атак на сторонние каналы, такие как Spectre, Роухаммер и RAMBleed.
Закрытые ключи теперь зашифровываются при загрузке в память и расшифровываются только на месте использования, остальное оставшееся время зашифровано. При таком подходе для успешного восстановления закрытого ключа злоумышленник должен сначала восстановить случайно сгенерированный промежуточный ключ размером 16 КБ для шифрования первичного ключа, что маловероятно с частотой ошибок восстановления, типичной для современных атак.
Еще одно важное изменение, которое выделяется ssh-keygen который был добавлен в качестве экспериментальной поддержки для упрощенная схема создания и проверки электронных подписей. Цифровые подписи могут быть созданы с использованием обычных ключей SSH, хранящихся на диске или в ssh-agent, и проверены списком действительных ключей, аналогичных авторизованным ключам.
Информация о пространстве имен встроена в цифровую подпись, чтобы избежать путаницы при использовании в нескольких полях (например, для электронной почты и файлов).
Ssh-keygen включен по умолчанию для использования алгоритма rsa-sha2-512 при проверке сертификатов цифровой подписью на основе ключа RSA (при работе в режиме CA).
Эти сертификаты несовместимы с версиями до OpenSSH 7.2. (Для обеспечения совместимости переопределите тип алгоритма, например, вызвав «ssh-keygen -t ssh-rsa -s ...»).
В ssh выражение ProxyCommand поддерживает расширение охвата "% n" (имя хоста, указанное в адресной строке).
В списках алгоритмов шифрования для ssh и sshd символ "^" дляtime можно использовать для вставки алгоритмов по умолчанию. Ssh-keygen обеспечивает вывод комментария, прикрепленного к ключу, когда открытый ключ извлекается из частного.
Ssh-keygen добавляет возможность использовать флаг -v при выполнении операций поиска ключей (например, ssh-keygen -vF host), указание которых приводит к отображению четкой подписи хоста.
Наконец, еще одна выдающаяся новинка добавление возможности использовать PKCS8 в качестве альтернативного формата для хранения закрытых ключей На диске. По умолчанию формат PEM продолжает использоваться, а PKCS8 может быть полезен для совместимости со сторонними приложениями.
Как установить OpenSSH 8.1 в Linux?
Для тех, кто заинтересован в возможности установить эту новую версию OpenSSH в своих системах, пока они могут это сделать скачивая исходный код этого и выполняя компиляцию на своих компьютерах.
Это связано с тем, что новая версия еще не включена в репозитории основных дистрибутивов Linux. Чтобы получить исходный код OpenSSH 8.1, нам просто нужно открыть терминал, и в нем мы собираемся ввести следующую команду:
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
Готово, Теперь мы собираемся распаковать пакет с помощью следующей команды:
tar -xvf openssh-8.1p1.tar.gz
Входим в созданный каталог:
cd openssh-8.1p1.tar.gz
Y мы можем скомпилировать с следующие команды:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install