[Информационная безопасность, Криптография, Open source] Релиз OpenSSH 8.5
Автор
Сообщение
news_bot ®
Стаж: 6 лет 11 месяцев
Сообщений: 27286
Команда разработки анонсировала релиз OpenSSH 8.5 — открытой реализации клиента и сервера для работы с протоколами SSH 2.0 и SFTP. Работа над новой версией заняла более пяти месяцев — релиз OpenSSH 8.4 состоялся в конце сентября 2020 года. ВАЖНО!
В версии OpenSSH 8.5 был внесен целый ряд изменений, нарушающих обратную совместимость, так что крайне рекомендуем ознакомиться с официальным патч-ноутом. Одно из важных изменений в новой версии — перевод в категорию устаревших алгоритмов на базе хэшей SHA-1, так как эффективность коллизионных атак с заданным префиксом серьезно возросла. Сейчас стоимость подбора коллизии по SHA-1 оценивается в ~$50 тыс. Также команда планирует отключить возможность по умолчанию использовать цифровую подпись по открытому ключу вида SSH-RSA. Он упоминается в RFC для SSH и до сих пор широко практикуется на местах.Важно понимать, что отказ от использования цифровых подписей SSH-RSA не означает полного отказа от RSA, так как помимо SHA-1 можно использовать и прочие алгоритмы вычисления хэшей. Так, можно перейти на связки RSA-SHA2-256 или RSA-SHA2-512, которые обеспечивают большую стойкость ключа. Среди рекомендуемых для миграции алгоритмов упомянуты rsa-sha2-256/512 на базе RFC8332 RSA SHA-2 (поддерживается с OpenSSH 7.2 и используется по умолчанию), ssh-ed25519 (поддерживается с OpenSSH 6.5) и ecdsa-sha2-nistp256/384/521 на базе RFC5656 ECDSA (поддерживается с OpenSSH 5.7).С новой версией системным администраторам, которые не захотят ничего менять в системе, нужно будет перевести свои системы на принудительное использование открытого ключа SSH-RSA. Чтобы узнать, используется ли эта подпись в системе, можно подключиться по SSH с опцией "-oHostKeyAlgorithms=-ssh-rsa". Впрочем, если вы солидарны с разработчиками OpenSSH, то можете просто проигнорировать данную манипуляцию: в новой версии обеспечена система гладкого перехода на новые алгоритмы шифрования ключей через настройку UpdateHostKeys. Она автоматически переводит клиентов на более надежные алгоритмы шифрования. UpdateHostKeys включает специальное расширение, которое в момент прохождение аутентификации на сервере информирует пользователя о доступных ключах. Просмотреть полный список можно в файле ~/.ssh/known_hosts.Использование UpdateHostKeys ограничено несколькими оговорками, которые в будущем могут быть отменены: ключ должен упоминаться в UserKnownHostsFile и не использоваться в GlobalKnownHostsFile; ключ должен присутствовать только под одним именем; не должен применяться сертификат хостового ключа; в known_hosts не должно применяться масок по имени хоста; должна быть отключена настройка VerifyHostKeyDNS; должен быть активен параметр UserKnownHostsFile.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, IT-стандарты, Законодательство в IT] Камбоджа направит весь интернет-трафик через национальный интернет-шлюз
- [Информационная безопасность] Важно! Внеплановые обновления безопасности Microsoft для Exchange от 2 марта 2021
- Релиз OpenSSH 8.5
- [Информационная безопасность, C] PKCS#11 для самых маленьких
- [Open source, Разработка игр, ООП, Развитие стартапа] Idewavecore. Ретроспектива
- [Информационная безопасность] Удобный вид для проверки результатов сканирования Nmap
- [Информационная безопасность, Реверс-инжиниринг, Киберпанк] Анастасия Тихонова: «Нам крупно повезло, что атаки APT пока еще не привели к массовым человеческим жертвам»
- [Информационная безопасность] Миф про «мобильный» CHACHA20
- [Информационная безопасность] Мошенники начали использовать боты Telegram для поиска персональных данных россиян с целью их шантажа
- [Информационная безопасность] Обнаружены эксплоиты для Linux и Windows с использованием техники Spectre
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_kriptografija (Криптография), #_open_source, #_openssh, #_shifrovanie (шифрование), #_sha1, #_kljuchi (ключи), #_otkrytye_kljuchi (открытые ключи), [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_datatsentr_«miran»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_datatsentr_«miran» (
Блог компании Дата-центр «Миран»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_kriptografija (
Криптография
), #_open_source
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 30-Янв 03:12
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 11 месяцев |
|
 Команда разработки анонсировала релиз OpenSSH 8.5 — открытой реализации клиента и сервера для работы с протоколами SSH 2.0 и SFTP. Работа над новой версией заняла более пяти месяцев — релиз OpenSSH 8.4 состоялся в конце сентября 2020 года. ВАЖНО! В версии OpenSSH 8.5 был внесен целый ряд изменений, нарушающих обратную совместимость, так что крайне рекомендуем ознакомиться с официальным патч-ноутом. Одно из важных изменений в новой версии — перевод в категорию устаревших алгоритмов на базе хэшей SHA-1, так как эффективность коллизионных атак с заданным префиксом серьезно возросла. Сейчас стоимость подбора коллизии по SHA-1 оценивается в ~$50 тыс. Также команда планирует отключить возможность по умолчанию использовать цифровую подпись по открытому ключу вида SSH-RSA. Он упоминается в RFC для SSH и до сих пор широко практикуется на местах.Важно понимать, что отказ от использования цифровых подписей SSH-RSA не означает полного отказа от RSA, так как помимо SHA-1 можно использовать и прочие алгоритмы вычисления хэшей. Так, можно перейти на связки RSA-SHA2-256 или RSA-SHA2-512, которые обеспечивают большую стойкость ключа. Среди рекомендуемых для миграции алгоритмов упомянуты rsa-sha2-256/512 на базе RFC8332 RSA SHA-2 (поддерживается с OpenSSH 7.2 и используется по умолчанию), ssh-ed25519 (поддерживается с OpenSSH 6.5) и ecdsa-sha2-nistp256/384/521 на базе RFC5656 ECDSA (поддерживается с OpenSSH 5.7).С новой версией системным администраторам, которые не захотят ничего менять в системе, нужно будет перевести свои системы на принудительное использование открытого ключа SSH-RSA. Чтобы узнать, используется ли эта подпись в системе, можно подключиться по SSH с опцией "-oHostKeyAlgorithms=-ssh-rsa". Впрочем, если вы солидарны с разработчиками OpenSSH, то можете просто проигнорировать данную манипуляцию: в новой версии обеспечена система гладкого перехода на новые алгоритмы шифрования ключей через настройку UpdateHostKeys. Она автоматически переводит клиентов на более надежные алгоритмы шифрования. UpdateHostKeys включает специальное расширение, которое в момент прохождение аутентификации на сервере информирует пользователя о доступных ключах. Просмотреть полный список можно в файле ~/.ssh/known_hosts.Использование UpdateHostKeys ограничено несколькими оговорками, которые в будущем могут быть отменены: ключ должен упоминаться в UserKnownHostsFile и не использоваться в GlobalKnownHostsFile; ключ должен присутствовать только под одним именем; не должен применяться сертификат хостового ключа; в known_hosts не должно применяться масок по имени хоста; должна быть отключена настройка VerifyHostKeyDNS; должен быть активен параметр UserKnownHostsFile. =========== Источник: habr.com =========== Похожие новости:
Блог компании Дата-центр «Миран» )[/url], #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_kriptografija ( Криптография ), #_open_source |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 30-Янв 03:12
Часовой пояс: UTC + 5