Новая версия OpenSSH 6.5p1 вышла как feature-focused релиз, то есть в версии включены новые возможности и фичи, которые накопились за предыдущие месяцы.
- ssh(1), sshd(8): добавлена поддержка обмена ключами на эллиптических кривых в Curve25519 по протоколу Диффи-Хеллмана. Этот метод станет стандартом для серверов и клиентов, которые поддерживают его.
- ssh(1), sshd(8): появилась поддержка открытых ключей Ed25519 типа. Подобный метод более безопасен, в отличии от DSA или ECDSA, а также является более производительным.
- Добавлен bcrypt KDF формат секретных ключей, который используется для лучшей защиты. Такое формат по-умолчанию используется для ключей Ed25519, его также можно вызвать в процессе сохранения или генерации ключей другого типа, с помощью флага -o ssh-keygen(1). Этот формат в будущем планируется сделать стандартным по-умолчанию. Подробнее см. в файле PROTOCOL.key.
- ssh(1), sshd(8): добавлен новый транспортный шифр "[email protected]", который сочетает в себе Poly1305 MAC и поточный шифр ChaCha20 для режима шифрования после аутентификации. Подробнее в файле PROTOCOL.chacha20poly1305.
- ssh(1), sshd(8): отказ от RSA ключей в старых проприетарных серверах и клиентах, которые используют устаревшие схемы подписи RSA+MD5. Такие сервера и клиенты смогут по-прежнему устанавливать зашифрованное соединение, но уже с DSA ключами. В будущих версиях OpenSSH и от этого полностью откажуться.
- ssh(1), sshd(8): отказ поддержки устаревших проприетарных серверов и клиентов, которые при обмене ключами используют слабый метод вычисления хэша.
- ssh(1): увеличен размер групп Диффи-Хеллмана, которые запрашиваются для каждого симметричного ключа. Новые значения определены в рекомендациях NIST Special Publication 800-57, а предельный лимит определён в стандарте RFC4419.
- ssh(1), ssh-agent(1): добавлена поддержка PKCS#11 токенов, которые вместо обычных ключей предоставляют только сертификаты X.509.
- ssh(1): добавлено ключевое слово ssh_config(5) "Match", с помощью которого можно определять условие на конфигурацию по имени пользователя, названию хоста или результату выполнения произвольной команды.
- ssh(1): добавлена поддержка для нормализации названий клиентских хостов, с использованием правил установленных в ssh_config(5) и набора суффиксов DNS.
- sftp-server(8): появилась возможность заносить в черный и/или белый список запросы sftp протокола по названию.
- sftp-server(8): для поддержки вызова fsync(2) с дескриптором открытого файла добавлена опция sftp "[email protected]".
- sshd(8): добавлена опция ssh_config(5) PermitTTY, которая дублирует опцию "no-pty authorized_keys".
- ssh(1): добавлена опция ssh_config ProxyUseFDPass, которая даёт возможность запустить ProxyCommands для установки соединения, после чего передать дескриптор файла назад в ssh(1) и после не дожидаясь окончания передачи спокойно закрыть ProxyCommand.
Кроме нового функционала, также исправлено более десятка различных багов, в числе которых уязвимости безопасности.
Вышла также и новая версия Portable OpenSSH, которая будет последней версией поддерживающей OpenSSL до 0.9.6.
Собрана и доступна для загрузки версия OpenSSH 6.5p1 для Windows.
