След шест месеца развитие Представена е версия на OpenSSH 8.1, което представлява набор от приложения които позволяват криптирана комуникация през мрежа, използвайки протокола SSH, като реализация на клиент и сървър с отворен код за работа на SSH 2.0 и SFTP.
Тази нова версия на OpenSSH 8.1 идва с някои подобренияНо един от акцентите е корекцията на уязвимостта, засягаща ssh, sshd, ssh-add и ssh-keygen. Проблемът присъства в кода за синтактичен анализ на частния ключ с тип XMSS и позволява на нападателя да инициира преливане. Уязвимостта е означена като използваема, но не е приложима, тъй като поддръжката на XMSS ключ се отнася до експериментални функции, които са деактивирани по подразбиране (в преносимата версия autoconf дори не предоставя опция за активиране на XMSS).
Основни нови функции на OpenSSH 8.1
В тази нова версия на OpenSSH 8.1 se е добавил код към ssh, sshd и ssh-agent, който предотвратява възстановяването на частния ключ, намиращ се в RAM в резултат на атаки срещу канали на трети страни като спектър, Топене, RowHammer и RAMBleed.
Частните ключове вече се криптират, когато се зареждат в паметта и се дешифрират само на място за използване, останалото време остава в криптиране. С този подход, за да възстанови успешно частния ключ, нападателят трябва първо да възстанови произволно генерирания 16K междинен ключ, за да шифрова първичния ключ, което е малко вероятно с честотата на грешки при възстановяване, характерна за съвременните атаки.
Друга голяма промяна, която откроява се ssh-keygen което беше добавено като експериментална подкрепа за опростена схема за създаване и проверка на цифрови подписи. Цифровите подписи могат да бъдат създадени с помощта на обикновени SSH ключове, съхранявани на диск или в ssh-agent и проверени чрез списък с валидни ключове, подобни на оторизирани ключове.
Информацията за пространството от имена е вградена в цифровия подпис, за да се избегне объркване, когато се прилага в множество полета (например за имейл и файлове).
Ssh-keygen е активиран по подразбиране, за да използва алгоритъма rsa-sha2-512 при проверка на сертификати с цифров подпис въз основа на RSA ключа (при работа в CA режим).
Тези сертификати са несъвместими с версии преди OpenSSH 7.2 (За да осигурите съвместимост, заменете типа алгоритъм, например като извикате "ssh-keygen -t ssh-rsa -s ...").
В ssh изразът ProxyCommand поддържа обхващащо разширяване "% n" (името на хоста, посочено в адресната лента).
В списъците с алгоритми за криптиране за ssh и sshd символът "^" къмвремето може да се използва за вмъкване на алгоритмите по подразбиране. Ssh-keygen осигурява изход на коментар, прикачен към ключ, когато публичен ключ се извлича от частен.
Ssh-keygen добавя възможността да използва флага -v при извършване на търсене на ключове (например ssh-keygen -vF хост), чието посочване води до показване на ясен подпис на хоста.
И накрая, друга изключителна новост е добавянето на възможността за използване на PKCS8 като алтернативен формат за съхранение на частни ключове На диска. По подразбиране PEM форматът продължава да се използва и PKCS8 може да бъде полезен за съвместимост с приложения на трети страни.
Как да инсталирам OpenSSH 8.1 на Linux?
За тези, които се интересуват от възможността да инсталират тази нова версия на OpenSSH на своите системи, засега те могат да го направят изтегляне на изходния код на това и извършване на компилацията на техните компютри.
Това е така, защото новата версия все още не е включена в хранилищата на основните дистрибуции на Linux. За да получите изходния код на OpenSSH 8.1, просто трябва да отворим терминал и в него ще напишем следната команда:
wget https://cloudflare.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.1p1.tar.gz
Извършено изтегляне, сега ще разархивираме пакета със следната команда:
tar -xvf openssh-8.1p1.tar.gz
Въвеждаме създадената директория:
cd openssh-8.1p1.tar.gz
Y можем да компилираме с следните команди:
./configure --prefix=/opt --sysconfdir=/etc/ssh make make install