Com o avanço da tecnologia, crescem também os ataques hackers, cada vez mais sofisticados em seus planos de quebrar senhas e roubar dados. Portanto, a necessidade de melhorias nas ferramentas de segurança que garantam a criptografia também está se tornando um desafio. Como resultado, a ferramenta shell de código aberto OpenSSH evolui com o lançamento da v8.2. O OpenSSH 8.2 inclui as principais mudanças para fortalecer ainda mais o canal de login remoto contra ataques de invasão externos e vem com suporte a autenticação de dois fatores.
OpenSSH 8.2 reprova o algoritmo SSH-RSA
O OpenSSH compreende um conjunto de ferramentas que fornecem operação remota segura e criptografada, gerenciamento de chaves e servidor usando o protocolo SSH.
Se você não sabe, o OpenSSH usa o algoritmo de hash SHA-1 para gerar a assinatura de chave pública para criptografia de ponta a ponta. Mas, recentemente, os pesquisadores conseguiram decodificar o algoritmo SHA-1 usando um chosen-prefix para um ataque de colisão.
Portanto, o OpenSSH anuncia a descontinuação do algoritmo de chave pública “ssh-rsa” e espera seus métodos alternativos, como o RSA SHA-2 e o algoritmo de assinatura ssh-ed25519.
O OpenSSH 8.2 agora suporta o algoritmo de assinatura rsa-sha2-512 por padrão quando um novo certificado é assinado pela Autoridade de Certificação usando ssh-keygen. No entanto, o OpenSSH anterior à 7.2 não suporta os algoritmos RSA / SHA2 mais recentes.
Você pode mudar para um novo algoritmo ativando as UpdateHostKeys. Na próxima versão, você poderá migrar automaticamente para melhores algoritmos.
OpenSSH 8.2 adiciona suporte padrão do FIDO / U2F ao autenticador de hardware
Juntamente com as melhorias no algoritmo, o hardware agora também permite a autenticação de dois fatores para a conexão segura com um dispositivo remoto.
Adicionando outra camada de segurança, o OpenSSH 8.2 também aproveita o padrão de protocolo de segurança FIDO / U2F para autenticação de hardware. Junto com o certificado de assinatura, dispositivos FIDO agora podem ser usados em novos tipos de chave pública “ecdsa-sk” e “ed25519-sk”.
Usando a combinação do token e das chaves do FIDO, os invasores não podem obter acesso não autorizado. Mesmo que eles possam ter um arquivo de chaves, o hardware exigiria ambos durante o processo de autenticação para derivar a chave real.
Para informações mais detalhadas, você pode ler os anúncios oficiais da versão aqui.