Software::Netzwerk
OpenSSH 8.2 erschienen
OpenSSH ist in Version 8.2 erschienen. Die neue Version unterstützt als größte Neuerung die Zweifaktor-Authentifikation mit FIDO/U2F-Hardware. RSA-Schlüssel mit SHA1-Hashes sollen allmählich aus dem Verkehr gezogen werden, sie werden jetzt nur noch auf ausdrückliche Anforderung erzeugt.
openssh.com
FIDO/U2F sind offene Standards für eine preisgünstige Hardware für Zweifaktor-Authentifikation und kommen bereits häufig bei der Anmeldung an Webseiten zum Einsatz. OpenSSH 8.2 unterstützt nun FIDO-Geräte mit den neuen öffentlichen Schlüsseltypen
ecdsa-sk und
ed25519-sk. Dazu wurden Anpassungen und Erweiterungen an diversen Komponenten vorgenommen. Zusätzlich werden auch residente FIDO2-Schlüssel unterstützt, bei denen der private Teil des Schlüssels in der Hardware erzeugt wird und aus dieser nicht ausgelesen werden kann.
OpenSSH 8.2 bereitet die Ablösung von RSA-Schlüsseln, die mit SHA1-Hashes erstellt wurden, vor. Nachdem es möglich geworden ist, wenn auch zum Preis von einigen zehntausend Euro, Hash-Kollisionen von SHA1 zu berechnen, kann dieser Algorithmus für den künftigen Einsatz nicht mehr als ausreichend sicher bezeichnet werden. OpenSSH-Schlüssel sind hier besonders anfällig, da sie lange bestehen bleiben und es für Angreifer somit nicht zeitkritisch ist, eine Kollision zu errechnen. So fordern die OpenSSH-Entwickler alle Anwender dazu auf, ihre Schlüssel zu prüfen und gegebenenfalls neue zu erstellen. Schlüssel mit SHA1 sollen für begrenzte Zeit noch funktionieren, aber in einer der kommenden Versionen von OpenSSH werden sie wohl nicht mehr unterstützt. Es gibt noch keinen konkreten Termin für das Ende der Unterstützung, da diese Schlüssel nach den Erkenntnissen der Entwickler noch weit verbreitet sind, aber neue Schlüssel mit SHA1 sollten bereits jetzt nicht mehr erzeugt werden. Der Standard-Schlüsseltyp bei der Erzeugung wurde entsprechend auf RSA mit SHA2-512 geändert. RSA mit SHA1 kann nun für Zertifikat-Signaturen nicht mehr erzeugt werden und entsprechende Zertifikate werden nicht mehr akzeptiert.
Desweiteren legte OpenSSH 8.2 den Schwerpunkt auf kleinere neue Funktionen und interne Aufräumarbeiten. So gibt es nun ein Schlüsselwort, um weitere Dateien in sshd_config zu inkludieren. DSA- und ECDSA-Schlüssel können von ssh-keygen im PEM-Format exportiert werden. Daneben erhielten die verschiedenen Komponenten neue Optionen und Erweiterungen, wie im Detail in der Ankündigung nachzulesen ist.
OpenSSH wird primär für OpenBSD entwickelt und steht auf dem FTP-Server von OpenBSD bereit. Eine portable Version für zahlreiche andere Systeme steht zum Download auf der Portable Release-Seite zur Verfügung.
){kind=small}
