После четири месеца развоја, пуштање нова верзија ОпенССХ 8.2, што је отворена имплементација клијента и сервера за рад на ССХ 2.0 и СФТП протоколима. А. кључних побољшања при лансирању од ОпенССХ 8.2 феу могућност коришћења двофакторске аутентификације помоћу уређаја који подржавају У2Ф протокол развио савез ФИДО.
У2Ф омогућава стварање јефтиних хардверских жетона за потврду физичког присуства корисника чија је интеракција преко УСБ-а, Блуетоотх-а или НФЦ-а. Такви уређаји се промовишу као средство двофакторске аутентификације на веб локацијама, већ су компатибилни са свим главним прегледачима и производе их различити произвођачи, укључујући Иубицо, Феитиан, Тхетис и Кенсингтон.
Да бисте ступили у интеракцију са уређајима који потврђују присуство корисника, ОпенССХ је додао две нове врсте кључева "ецдса-ск" и "ед25519-ск", који користе ЕЦДСА и Ед25519 алгоритме дигиталног потписа у комбинацији са хешом СХА-256.
Поступци за интеракцију са токенима пребачени су у средњу библиотеку, која се учитава по аналогији са библиотеком за подршку ПКЦС # 11 и представља везу у библиотеци либфидо2, која пружа средства за комуникацију са токенима путем УСБ-а (подржана су два протокола ФИДО У2Ф / ЦТАП 1 и ФИДО 2.0 / ЦТАП).
Средња библиотека либск-либфидо2 коју су припремили програмери ОпенССХ си укључује у језгру либфидо2, као и ХИД покретачки програм за ОпенБСД.
За аутентификацију и генерисање кључа морате навести параметар "СецуритиКеиПровидер" у конфигурацији или поставити променљиву окружења ССХ_СК_ПРОВИДЕР, наводећи путању до спољне библиотеке либск-либфидо2.со.
Могуће је изградити опенссх са уграђеном подршком за библиотеку средњег слоја и у овом случају треба да подесите параметар „СецуритиКеиПровидер = интернал“.
Такође, подразумевано, када се изводе кључне операције, потребна је локална потврда физичког присуства корисника, на пример, предлаже се додиривање сензора на токену, што отежава извођење даљинских напада на системе са повезаним токеном .
С друге стране, нова верзија ОпенССХ је такође најавио предстојећи прелазак у категорију застарелих алгоритама који користе хеширање СХА-1. због повећања ефикасности напада судара.
Да бисте олакшали прелазак на нове алгоритме у ОпенССХ у наредном издању, подешавање УпдатеХостКеис биће подразумевано омогућено, који ће аутоматски пребацити клијенте на поузданије алгоритме.
Такође се може наћи у ОпенССХ 8.2, још увек је остављена могућност повезивања помоћу „ссх-рса“, али овај алгоритам је уклоњен са листе ЦАСигнатуреАлгоритхмс, која дефинише алгоритме који важе за дигитално потписивање нових сертификата.
Слично томе, алгоритам диффие-хеллман-гроуп14-сха1 уклоњен је из подразумеваних алгоритама размене кључева.
Од осталих промена које се истичу у овој новој верзији:
- У ссхд_цонфиг је додата директива инцлуде, која омогућава да се садржај осталих датотека укључи у тренутни положај конфигурационе датотеке.
- Директива ПублисхАутхОптионс је додата у ссхд_цонфиг, комбинујући различите опције повезане са аутентификацијом јавног кључа.
- У ссх-кеиген је додата опција „-О врите-атестатион = / патх“, која омогућава писање додатних ФИДО сертификата приликом генерисања кључева.
- Ссх-кеиген-у је додата могућност извоза ПЕМ-а за ДСА и ЕЦДСА кључеве.
- Додата је нова извршна датотека ссх-ск-хелпер коришћена за изолацију библиотеке за приступ ФИДО / У2Ф токен-у.
Како инсталирати ОпенССХ 8.2 на Линук?
За оне који су заинтересовани за могућност инсталирања ове нове верзије ОпенССХ-а на своје системе, за сада то могу преузимајући изворни код овог и изводећи компилацију на својим рачунарима.
То је зато што нова верзија још увек није укључена у спремишта главних Линук дистрибуција. Да бисте добили изворни код за ОпенССХ 8.2. То можете учинити из следећи линк (у време писања пакета још увек није доступан на огледалима и напомињу да би то могло потрајати још неколико сати)
Завршено преузимање, сада ћемо распаковати пакет следећом наредбом:
tar -xvf openssh-8.2.tar.gz
Улазимо у креирани директоријум:
cd openssh-8.2
Y можемо саставити са следеће наредбе:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install