Los avances en la potencia informática suponen una amenaza para la complejidad del tiempo, ya que los piratas informáticos ahora pueden romper fácilmente los sistemas de cifrado. Por lo tanto, la necesidad de mejoras en las herramientas de seguridad también se está convirtiendo en un desafío.
Como resultado, la herramienta de shell seguro de código abierto OpenSSH salta adelante con el lanzamiento de v8.2. OpenSSH 8.2 incluye cambios clave para fortalecer aún más el canal de inicio de sesión remoto de ataques de colisión externos.
OpenSSH 8.2 deja en desuso el algoritmo SSH-RSA
OpenSSH comprende un conjunto de herramientas que proporcionan operación remota segura y encriptada, administración de claves y servicio de servidor utilizando el protocolo SSH.
Si no lo sabe, OpenSSH utiliza el algoritmo hash SHA-1 para generar la firma de clave pública para el cifrado de extremo a extremo. Pero recientemente, los investigadores lograron decodificar el algoritmo SHA-1 utilizando un ataque de colisión de prefijo elegido.
Por lo tanto, OpenSSH anuncia desaprobar el algoritmo de clave pública “ssh-rsa” y espera con ansias sus métodos alternativos como RSA SHA-2 y el algoritmo de firma ssh-ed25519.
OpenSSH 8.2 ahora es compatible con el algoritmo de firma rsa-sha2-512 de forma predeterminada cuando la Autoridad de certificación firma un nuevo certificado utilizando ssh-keygen. Sin embargo, OpenSSH anterior a 7.2 no es compatible con los nuevos algoritmos RSA / SHA2.
Puede cambiar a un nuevo algoritmo habilitando UpdateHostKeys. En la próxima versión, podrá migrar automáticamente a mejores algoritmos.
OpenSSH 8.2 agrega soporte de autenticación de hardware estándar FIDO / U2F
Junto con las mejoras de algoritmos, el hardware ahora también permite la autenticación de dos factores para una conexión segura con un dispositivo remoto.
Al agregar otra capa de seguridad, OpenSSH 8.2 también aprovecha el estándar de protocolo de seguridad FIDO / U2F para la autenticación de hardware. Junto con el certificado de firma, los dispositivos FIDO ahora se pueden usar con los nuevos tipos de clave pública “ecdsa-sk” y “ed25519-sk”.
Utilizando la combinación del token FIDO y las claves, los atacantes no pueden obtener acceso no autorizado a pesar de que pueden tener un archivo de claves, ya que el hardware requeriría ambos durante el tiempo de autenticación para obtener la clave real.
