Представлен новый защищённый SSH-сервер TinySSH
Сервер поддерживает только аутентификацию на основе открытых ключей, организация входа через пароли не поддерживается. Разработчики также не планируют создание утилиты scp, вместо которой рекомендуют использовать "rsync -e ssh". Обмен ключами построен на базе функции Curve25519, для цифровых подписей применяется схема Ed25519, в качестве транспортного протокола задействован "chacha20-poly1305@openssh.com" на основе алгоритмов потокового шифра ChaCha20 и аутентификации сообщений Poly1305-AES.
В настоящее время проект находится на стадии экспериментального прототипа, первый альфа-выпуск ожидается в начале следующего года, а первый выпуск, пригодный для промышленного использования, запланирован на 2016 год. Текущая экспериментальная реализация TinySSH совместима с SSH-клиентом OpenSSH 6.5 и более новыми версиями. В будущем планируется обеспечить поддержку методов ecdsa-sha2-nistp256, ecdh-sha2-nistp256 и aes128-ctr/aes256-ctr.
Основные особенности TinySSH:
- Лёгкость аудита - код состоит менее чем из 100 тысяч слов (~ 15 тысяч строк);
- Неприменение динамических методов распределения памяти, вся память выделяется статически;
- Простая конфигурация, исключающая возникновение проблем с безопасностью из-за ошибок при настройке;
- Использование проверенного и надёжного стороннего кода: система сборки, используемая в NaCl и CurveCP, применение tcpserver и curvecpserver для создания организации приёма TCP и CurveCP соединений;
- Исключение излишней функциональности, разработчики принципиально отказались от поддержки SSH1, сжатия, scp, sftp;
- Отказ от поддержки устаревших криптографических примитивов, таких как rsa, dsa, classic diffie-hellman, md5, sha1, 3des, arcfour и т.п.
- Отказ от авторских прав на код и перевод проекта в категорию общественного достояния;
- Не использование OpenSSL в качестве внешней зависимости, для работы TinySSH достаточно NaCl или TweetNaCl.
Источник: http://www.opennet.ru/opennews/art.shtml?num=39752
|
|
0 | Tweet | Нравится |
|
