Po štirih mesecih razvoja se je začela nova različica OpenSSH 8.2, ki je odprta izvedba odjemalca in strežnika za delo na protokolih SSH 2.0 in SFTP. A ključnih izboljšav ob zagonu avtor OpenSSH 8.2 feu možnost uporabe dvofaktorske avtentikacije z uporabo naprav ki podpirajo protokol U2F razvila zveza FIDO.
U2F omogoča ustvarjanje poceni žetonov strojne opreme za potrditev fizične prisotnosti uporabnika, čigar interakcija poteka prek USB, Bluetooth ali NFC. Takšne naprave se promovirajo kot sredstvo za dvofaktorsko preverjanje pristnosti na spletnih mestih, so že združljive z vsemi glavnimi brskalniki in jih proizvajajo različni proizvajalci, vključno z Yubico, Feitianom, Thetisom in Kensingtonom.
Za interakcijo z napravami, ki potrjujejo prisotnost uporabnika, OpenSSH je dodal dve novi vrsti tipk "ecdsa-sk" in "ed25519-sk", ki uporabljajo algoritme za digitalno podpisovanje ECDSA in Ed25519 v kombinaciji s hash-om SHA-256.
Postopki za interakcijo z žetoni so bili preneseni v vmesno knjižnico, ki je naložena po analogiji s knjižnico za podporo PKCS # 11 in je povezava v knjižnici libfido2, ki zagotavlja sredstva za komunikacijo z žetoni prek USB-ja (protokola FIDO U2F / CTAP 1 in FIDO 2.0 / CTAP sta podprta dva).
Vmesna knjižnica libsk-libfido2, ki so jo pripravili razvijalci OpenSSH sin vključuje v jedru libfido2, pa tudi gonilnik HID za OpenBSD.
Za preverjanje pristnosti in generiranje ključev morate v konfiguraciji podati parameter "SecurityKeyProvider" ali nastaviti spremenljivko okolja SSH_SK_PROVIDER, pri čemer določite pot do zunanje knjižnice libsk-libfido2.so.
Možno je zgraditi openssh z vgrajeno podporo za knjižnico srednjega sloja in v tem primeru morate nastaviti parameter "SecurityKeyProvider = internal".
Prav tako je privzeto pri izvajanju ključnih operacij potrebna lokalna potrditev fizične prisotnosti uporabnika, na primer, priporočamo, da se dotaknete senzorja na žetonu, kar otežuje izvajanje oddaljenih napadov na sisteme s povezanim žetonom.
Po drugi strani pa nova različica OpenSSH je napovedal tudi prihajajoči prehod v kategorijo zastarelih algoritmov, ki uporabljajo razprševanje SHA-1. zaradi povečane učinkovitosti trkov.
Za lažji prehod na nove algoritme v OpenSSH v prihodnji izdaji, nastavitev UpdateHostKeys bo privzeto omogočena, ki bo stranke samodejno preusmeril na zanesljivejše algoritme.
Najdete ga lahko tudi v OpenSSH 8.2, možnost povezovanja s pomočjo "ssh-rsa" še vedno ostane, vendar je ta algoritem odstranjen s seznama CASignatureAlgorithms, ki določa algoritme, ki veljajo za digitalno podpisovanje novih potrdil.
Podobno je bil algoritem diffie-hellman-group14-sha1 odstranjen iz privzetih algoritmov za izmenjavo ključev.
Od ostalih sprememb, ki izstopajo v tej novi različici:
- V sshd_config je bila dodana direktiva include, ki omogoča vključitev vsebine drugih datotek v trenutni položaj konfiguracijske datoteke.
- Direktiva PublishAuthOptions je bila dodana sshd_config, ki združuje različne možnosti, povezane z avtentikacijo javnega ključa.
- V ssh-keygen je dodana možnost "-O write-atestation = / path", ki omogoča pisanje dodatnih potrdil o certificiranju FIDO pri ustvarjanju ključev.
- Ssh-keygenu je bila dodana možnost izvoza PEM za ključe DSA in ECDSA.
- Dodana je nova izvršljiva datoteka ssh-sk-helper, ki se uporablja za izolacijo knjižnice za dostop do žetonov FIDO / U2F.
Kako namestiti OpenSSH 8.2 na Linux?
Za tiste, ki jih zanima namestitev te nove različice OpenSSH v svoje sisteme, za zdaj lahko to storijo nalaganje izvorne kode tega in izvajajo kompilacijo na svojih računalnikih.
To pa zato, ker nova različica še ni bila vključena v repozitoriji glavnih distribucij Linuxa. Za pridobitev izvorne kode za OpenSSH 8.2. To lahko storite v naslednjo povezavo (v času pisanja paketa še ni na voljo na ogledalih in omenjajo, da lahko traja še nekaj ur)
Končal prenos, zdaj bomo paket razpakirali z naslednjim ukazom:
tar -xvf openssh-8.2.tar.gz
Vnesemo ustvarjeni imenik:
cd openssh-8.2
Y lahko sestavimo z naslednje ukaze:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install