春山 征吾のくけー

https://www.unixuser.org/~haruyama/blog/ に移転しました http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています.

2015年03月

atmarkIT の SSH・暗号の記事はひどいので見ないほうがいい

すべての関連する記事を見たわけではありませんが, 最近公開された

はひどいですし, これらの記事からリンクされている暗号の記事にも間違いがあります.

atmarkIT のSSH・暗号の記事は見ない/参考にしている人が身近にいたら注意するのがよいと思います.

OpenSSH 6.8/6.8p1 がリリースされました.

2015/03/18, OpenSSH 6.8/6.8p1 がリリースされました.

Changes since OpenSSH 6.7
=========================

OpenSSH 6.7 からの変更点

This is a major release, containing a number of new features as
well as a large internal re-factoring.

多くの新機能と大きな内部リファクタリングを含む, 大規模なリリースだ.

Potentially-incompatible changes
--------------------------------

互換性が失なわれるかもしれない変更

 * sshd(8): UseDNS now defaults to 'no'. Configurations that match
   against the client host name (via sshd_config or authorized_keys)
   may need to re-enable it or convert to matching against addresses.

   sshd(8): UseDNS はデフォルトで 'no' になる.
   (sshd_config や authorized_keys のよる)クライアントホスト名
   に対するマッチの設定は, UseDNS を再度有効にするか, アドレスに対して
   マッチするよう変更する必要があるかもしれない.

New Features
------------

新機能

 * Much of OpenSSH's internal code has been re-factored to be more
   library-like. These changes are mostly not user-visible, but
   have greatly improved OpenSSH's testability and internal layout.

   OpenSSH の内部コードの多くを, よりライブラリ風にリファクタリングした.
   これらの変更は, ほとんどユーザから見えないが, OpenSSH のテスト可能性と
   内部のレイアウトが非常に改善された.

 * Add FingerprintHash option to ssh(1) and sshd(8), and equivalent
   command-line flags to the other tools to control algorithm used
   for key fingerprints. The default changes from MD5 to SHA256 and
   format from hex to base64.

   FingerprintHash オプションを ssh(1) と sshd(8) に追加する. また,
   鍵の指紋のために使われるアルゴリズムを制御する他のツールに
   同様の指定をするコマンドラインフラグも追加する. デフォルトが
   MD5 から SHA256 に, 形式が hex から base64 になる.

   Fingerprints now have the hash algorithm prepended. An example of
   the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE
   Please note that visual host keys will also be different.

   指紋は, ハッシュアルゴリズムが前に付く形式になる. 新しい形式の例:
   the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE
   ホスト鍵を可視化した際も異なることに注意.

 * ssh(1), sshd(8): Experimental host key rotation support. Add a
   protocol extension for a server to inform a client of all its
   available host keys after authentication has completed. The client
   may record the keys in known_hosts, allowing it to upgrade to better
   host key algorithms and a server to gracefully rotate its keys.

   ssh(1), sshd(8): 実験的なホスト鍵のローテーションをサポート. 
   (ホスト)認証が完了した後でサーバがクライアントに利用可能なホスト鍵の
   すべてを通知するためのプロトコル拡張を追加する. クライアントは
   known_host に鍵を記録できる. これにより, クライアントが
   よりよいホスト鍵アルゴリズムへの更新をしたり,
   サーバがホスト鍵を graceful にローテートできるようになる.

   The client side of this is controlled by a UpdateHostkeys config
   option (default off).

   クライアント側での動作は, 
   UpdateHostkeys 設定項目(デフォルト無効) で制御できる.
   (訳注: Call for testing の際はデフォルト有効でした)

訳中: OpenSSH、次期「OpenSSH 6.8」で「Ed25519オートコレクトキー」をサポート | スラッシュドット・ジャパン セキュリティ - http://security.slashdot.jp/story/15/02/04/101203/

 * ssh(1): Add a ssh_config HostbasedKeyType option to control which
   host public key types are tried during host-based authentication.

   ssh(1): ssh_config に HostbasedKeyType 設定項目を追加する.
   ホストベース認証の際に試すホスト公開鍵の種類を制御する

 * ssh(1), sshd(8): fix connection-killing host key mismatch errors
   when sshd offers multiple ECDSA keys of different lengths.

   ssh(1), sshd(8): 異なる長さの複数の ECDSA 鍵を sshd が提供する
   場合の, 接続を切るホスト鍵不一致エラーを修正する.

 * ssh(1): when host name canonicalisation is enabled, try to
   parse host names as addresses before looking them up for
   canonicalisation. fixes bz#2074 and avoiding needless DNS
   lookups in some cases.

   ssh(1): ホスト名の正規化が有効な場合, 正規化のためにホスト名を
   検査うする前にホスト名をアドレスとしてパースできるか試す.
   bz#2074 を修正し, いくつかの場合で不必要な DNS の検索を避けるため.

 * ssh-keygen(1), sshd(8): Key Revocation Lists (KRLs) no longer
   require OpenSSH to be compiled with OpenSSL support.

   ssh-keygen(1), sshd(8): 鍵失効リスト(KRLs) が, OpenSSL サポート付きで
   コンパイルされた OpenSSH を必要としなくなった.

 * ssh(1), ssh-keysign(8): Make ed25519 keys work for host based
   authentication.

   ssh(1), ssh-keysign(8): ed25519 鍵がホストベース認証で動作する.

 * sshd(8): SSH protocol v.1 workaround for the Meyer, et al,
   Bleichenbacher Side Channel Attack. Fake up a bignum key before
   RSA decryption.

   sshd(8): Meyer, et al の Bleichenbacher サイドチャンネル攻撃
   に対する SSH プロトコル v.1 の緩和策を追加. RSA の復号の前に
   大きな数の鍵をでっちあげる.

 * sshd(8): Remember which public keys have been used for
   authentication and refuse to accept previously-used keys.
   This allows AuthenticationMethods=publickey,publickey to require
   that users authenticate using two _different_ public keys.

   sshd(8): 認証に利用した公開鍵を記録し, 先に利用された鍵の利用を拒否する.
   これにより, AuthenticationMethods=publickey,publickey という設定で,
   2つの *異なる* 公開鍵を利用するようにユーザに要求できる.

 * sshd(8): add sshd_config HostbasedAcceptedKeyTypes and
   PubkeyAcceptedKeyTypes options to allow sshd to control what
   public key types will be accepted. Currently defaults to all.

   sshd(8): sshd_config の HostbasedAcceptedKeyTypes と PubkeyAcceptedKeyTypes
   設定項目を追加する. 受けつける公開鍵の種類を sshd が制御できる.
   現在のデフォルトは all.

 * sshd(8): Don't count partial authentication success as a failure
   against MaxAuthTries.

   sshd(8): 部分的な認証の成功を MaxAuthTries での失敗にカウントしない.

 * ssh(1): Add RevokedHostKeys option for the client to allow
   text-file or KRL-based revocation of host keys.

   ssh(1): RevokedHostKeys 設定項目を追加する. クライアントが
   ホスト鍵の テキストファイルや KRLベースの失効を行なえるようになる.

 * ssh-keygen(1), sshd(8): Permit KRLs that revoke certificates by
   serial number or key ID without scoping to a particular CA.

   ssh-keygen(1), sshd(8): KRL で, 特定の CA を詳しく調べることなしに
   シリアル番号や鍵IDで証明書を失効できるようにする.

 * ssh(1): Add a "Match canonical" criteria that allows ssh_config
   Match blocks to trigger only in the second config pass.

   ssh(1): "Match canonical" 条件を追加する. ssh_config の Match
   ブロックで, 2回目の(ホスト名の正規化の後の)
   設定のパースのパスでのみ有効になる.

 * ssh(1): Add a -G option to ssh that causes it to parse its
   configuration and dump the result to stdout, similar to "sshd -T".

   ssh(1): -G オプションを追加, "sshd -T" と同様に,
   設定をパースし結果を標準出力にダンプする.

 * ssh(1): Allow Match criteria to be negated. E.g. "Match !host".

   ssh(1): Match の条件に否定を許す. 例えば "Match !host"

 * The regression test suite has been extended to cover more OpenSSH
   features. The unit tests have been expanded and now cover key
   exchange.

   回帰テストスートが, より広範囲の OpenSSH の機能をカバーするよう拡張
   された. ユニットテストは拡張され, 鍵効果もカバーする

Bugfixes

バグ修正

 * ssh-keyscan(1): ssh-keyscan has been made much more robust again
   servers that hang or violate the SSH protocol.

   ssh-keyscan(1): ssh-keyscan は ハングしたり SSH プロトコルを破っている
   サーバに対してより強固になった.

 * ssh(1), ssh-keygen(1): Fix regression bz#2306: Key path names were
   being lost as comment fields.

   ssh(1), ssh-keygen(1): bz#2306 の再発を修正. 鍵のパス名が
   コメントフィールドのように失なわれていた.

 * ssh(1): Allow ssh_config Port options set in the second config
   parse phase to be applied (they were being ignored). bz#2286

   ssh(1): ssh_config の Port 設定項目が, 2回目の設定のパースの
   段階でも有効になる(いままでは無視されていた). bz#2286

 * ssh(1): Tweak config re-parsing with host canonicalisation - make
   the second pass through the config files always run when host name
   canonicalisation is enabled (and not whenever the host name
   changes) bz#2267

   ssh(1): ホスト正規化の後で設定をもう1度パースするように調整した.
   ホスト名の正規化が有効で(ホスト名が変わらない場合)に 設定ファイルの
   パースの2回目のパスが常に走る.

 * ssh(1): Fix passing of wildcard forward bind addresses when
   connection multiplexing is in use; bz#2324;

   ssh(1): 接続の多重化を利用している場合の ワイルドカードが先に付く
   バインドアドレスのパースを修正する. bz#2324

 * ssh-keygen(1): Fix broken private key conversion from non-OpenSSH
   formats; bz#2345.

   ssh-keygen OpenSSH ではない形式からの壊れた秘密鍵変換を修正. bz#2345

 * ssh-keygen(1): Fix KRL generation bug when multiple CAs are in
   use.

   ssh-keygen(1): 複数の CA を利用している場合の KRL 生成バグを修正.

 * Various fixes to manual pages: bz#2288, bz#2316, bz#2273

   マニュアルページの多数の修正: bz#2288, bz#2316, bz#2273

Portable OpenSSH

移植版 OpenSSH

 * Support --without-openssl at configure time

   configure 時の --without-openssl をサポート

   Disables and removes dependency on OpenSSL. Many features,
   including SSH protocol 1 are not supported and the set of crypto
   options is greatly restricted. This will only work on systems
   with native arc4random or /dev/urandom.

   OpenSSL への依存を無効化し削除する. SSH プロトコル1を含む多くの特徴
   がサポートされなくなり, 暗号のオプションが非常に制限される.
   システムが ネイティブな arc4random か /dev/urandom を持っている
   場合にのみ動作する.

   Considered highly experimental for now.

   現在非常に実験的だと考えられる.

 * Support --without-ssh1 option at configure time

   configure 時の --without-ssh1 をサポート

   Allows disabling support for SSH protocol 1.

   SSH プロトコル 1 のサポートを無効にできる.

 * sshd(8): Fix compilation on systems with IPv6 support in utmpx; bz#2296

   sshd(8): utmpx で IPv6 サポートを持つシステムでのコンパイルを修正; bz#2296

 * Allow custom service name for sshd on Cygwin. Permits the use of
   multiple sshd running with different service names.

   Cygwin の sshd でカスタムサービス名を許す. 異なるサービス名で
   複数の sshd を利用できるようになる.
QRコード
QRコード
  • ライブドアブログ