OpenSSH 8.2发布禁用ssh-rsa算法
发布日期:2020-02-18OpenSSH 8.2发布了。OpenSSH 是100%完整的SSH协议2.0版本的实现,并且包括sftp客户端和服务器支持。此版本变化不少,其中有两个地方值得特别关注。一个是新特性,此版本增加了对FIDO/U2F硬件身份验证器的支持。
(图片来源于网络,如涉及侵权请告知,我们将会在第一时间删除)FIDO/U2F是廉价硬件双因认证的开放标准,广泛应用于网站的身份验证。此版本通过新的公共密钥类型“ecdsa-sk”和“ed25519-sk”,以及相应的证书类型支持FIDO设备。
(图片来源于网络,如涉及侵权请告知,我们将会在第一时间删除)ssh-keygen(1) 可用于生成 FIDO 令牌支持的密钥,之后它们的使用方式与 OpenSSH 支持的任何其它密钥类型非常相似,只要在使用密钥时附加硬件令牌。
另一方面关于 SHA-1 哈希算法,此前该算法被发现构造前缀碰撞攻击成本已降至低于 5 万美元(实际为 4.5 万美元),因此开发团队决定禁用ssh-rsa 公钥签名算法。
有一些更好的算法可以替代,包括RFC8332 RSA SHA-2 签名算法 rsa-sha2-256/512、ssh-ed25519 签名算法与RFC5656 ECDSA 算法。目前这些算法在 OpenSSH 中都已经支持。
完整的更新说明查看:http://www.openssh.com/txt/release-8.2
文章来源:cnbeta.com