OpenSSH 8.1: Schutz vor RAM-Seitenkanalangriffen und Sicherheits-Bugfix

Die neueste Version der OpenSSH-Software schützt nun geheime Schlüssel im Arbeitsspeicher vor Speculative-Execution-Attacken und Seitenkanalangriffen wie Spectre, Meltdown und RAMBleed. Außerdem wurde eine Sicherheitslücke im Code behoben, der Schlüssel vom Typ eXtended Merkle Signature Scheme (XMSS) prüfen soll. Unterstützung für diese noch als experimentell angesehene Art von Schlüsseln ist allerdings in den meisten Umsetzungen von OpenSSH nicht vorhanden, da sie von Hand vor dem Kompilieren aktiviert werden muss.

OpenSSH 8.1 kann auf der Webseite der Entwickler heruntergeladen werden – in der Regel bekommen Anwender ihre OpenSSH-Binaries allerdings über das Paketmanagement ihrer Linux- oder BSD-Distribution.

Schutz vor Spectre, Meltdown und RAMBleed

Der Patch zum Schutz vor Seitenkanalangriffen war bereits im Juni veröffentlicht worden, mit dem neuen Release ist er nun auch in die Hauptversion der Software eingeflossen. Der Patch stammt von Entwickler Damien Miller. Ungenutzt im Arbeitsspeicher liegende geheime Schlüssel werden nun temporär mit einem symmetrischen Schlüssel verschlüsselt, der sich seinerseits von einem 16 KB großen Prekey ableitet. Dieser wird mit Hilfe von Zufallsdaten generiert.

Angreifer, die über einen Seitenkanal an den Schlüssel kommen wollen, müssten nun den kompletten Prekey auslesen, um mit diesem anschließend einen Entschlüsselungsversuch des eigentlichen SSH-Schlüssels starten zu können. Angesichts der hohen Bitfehlerraten der derzeit gebräuchlichen Angriffstechniken ist das unwahrscheinlich.

Änderungen bei Zertifikaten und Signaturen

Die Entwickler haben außerdem die Methode geändert, mit der OpenSSH als CA fungieren und Zertifikate signieren kann. Bei der Benutzung eines RSA-Schlüssels wird nun standardmäßig der Algorithmus rsa-sha2-512 verwendet. Das führt dazu, dass die resultierenden Zertifikate inkompatibel mit OpenSSH-Installationen älter als Version 7.2 sind. Dieses Verhalten kann allerdings vom Anwender manuell angepasst werden. Eine experimentelle neue Methode der Signaturüberprüfung erlaubt es außerdem, Signaturen anhand einer Liste von erlaubten SSH-Schlüsseln zu prüfen – ähnlich der Liste von bekannten Servern und deren Schlüsseln. Ein eingebetteter Namespace verhindert, dass es zu Verwirrungen zwischen Signaturen für unterschiedliche Anwendungszwecke (etwa für Daten und Email-Nachrichten) kommt.

Wie immer haben die Entwickler in einem Changelog diese und weitere Änderungen penibelst genau beschrieben. Neben weiteren kleinen Neuerungen finden sich dort auch Beschreibungen aller Bugfixes und anderer Änderungen. (fab)