[列表中的上一个][列表中的下一个][线程中的前一个][线程中的下一个]列表:openssh-unix-devSubject:宣告:OpenSSH 8.4发布自:Damien Miller<;DJM()OpenBSD!Org>;日期:2020-09-27 9:37:07消息-ID:2a5a3848f29ff767()OpenBSD!Org[下载原始消息或正文]OpenSSH 8.4刚刚发布。OpenSSH是一个100%完整的SSH2.0协议实现,包括对sftp客户端和服务器的支持。我们再次感谢OpenSSH社区对该项目的持续支持,特别是那些贡献了代码或补丁、报告错误、测试快照或向该项目捐款的人。关于捐款的更多信息可以在:https://www.openssh.com/donations.htmlFuture弃用通知=。为此,我们将在近期版本中默认禁用公钥签名算法。遗憾的是,尽管存在更好的替代算法,但该算法仍在广泛使用,它是原始SSH RFC指定的唯一剩余的公钥签名算法。更好的替代算法包括:*RFC8332 RSA SHA-2签名算法rsa-sha2-256/512。这些算法的优点是使用与";ssh-rsa";相同的密钥类型,但使用安全的SHA-2散列算法。从OpenSSH 7.2开始就支持它们,如果客户端和服务器支持它们,则默认情况下已经在使用它们。*ssh-ed25519签名算法。从6.5版开始,OpenSSH就支持它。*RFC5656 ECDSA算法:ecdsa-sha2-nistp256/384/521。OpenSSH从5.7版开始支持这些密钥。要检查服务器是否正在使用弱ssh-rsa公钥算法进行主机身份验证,请在从ssh(1)';的允许列表中删除ssh-rsa算法后尝试连接到该服务器:ssh-oHostKeyAlgorithms=-ssh-rsa user@host如果主机密钥验证失败,并且没有其他受支持的主机密钥类型可用,则应升级该主机上的服务器软件。我们打算在下一个OpenSSH版本中默认启用UpdateHostKeys。这将通过自动迁移到更好的算法来帮助客户端。用户可以考虑手动启用此选项。[1]";SHA-1是一个乱七八糟的东西:在SHA-1上的第一选择前缀冲突和对PGP信任网的应用";Leurent,G和Peyrin,T(2020年)https://eprint.iacr.org/2020/014.pdfSecurity=*SSH-AGENT(1):限制SSH-AGENT签署对FIDO/U2F密钥的网络挑战。使用应用程序字符串不是以";ssh:";开头的FIDO密钥对ssh-agent中的消息进行签名时,请确保要签名的消息是SSH协议预期的格式之一(当前为公钥身份验证和sshsig签名)。这可以防止ssh-agent在附加了FIDO密钥的主机上转发,从而允许远程端也使用这些密钥对Web身份验证的挑战进行签名。请注意,已经排除了Web浏览器签署SSH质询的相反情况,因为任何Web RP都不能在我们需要的应用程序字符串中使用";ssh:";前缀。*ssh-keygen(1):生成FIDO驻留密钥时启用FIDO 2.1 redProtect扩展。最近的FIDO 2.1客户端到验证器协议引入了一项redProtect功能,以更好地保护驻留密钥。我们使用此选项在所有可能从FIDO令牌检索驻留密钥的操作之前需要PIN。潜在不兼容的更改=此版本包括许多可能影响现有配置的更改:*对于FIDO/U2F支持,OpenSSH建议使用libfido2 1.5.0或更高版本。较旧的库以禁用特定功能为代价提供有限的支持。其中包括驻留密钥、需要PIN的密钥和多个附加令牌。*ssh-keygen(1):生成FIDO密钥时可选记录的认证信息格式发生变化。它现在包括验证证明签名所需的验证器数据。*OpenSSH和FIDO令牌中间件之间的API发生变化,SSH_SK_VERSION_MAJOR版本因此增加。第三方中间件库必须支持当前的API版本(7)才能与OpenSSH 8.4一起使用。*可移植的OpenSSH发行版现在需要Automake重新构建配置脚本和支持文件。从发行版tar文件简单构建可移植OpenSSH时,这不是必需的。OpenSSH 8.3以来的更改=。这些密钥可以使用ssh-keygen使用新的";Verify-Required&34;选项生成。当使用需要PIN的密钥时,系统将提示用户输入PIN以完成签名操作。