Опубликовано HowtoForge (http://htfl.ru)

Главная > News articles > 12 Май 2014 > Представлен новый защищённый SSH-сервер TinySSH > Представлен новый защищённый SSH-сервер TinySSH

Представлен новый защищённый SSH-сервер TinySSH

В рамках проекта TinySSH [3] началось развитие компактного и защищённого сервера для организации удалённого доступа по протоколу SSH-2. Для организации защищённого сетевого взаимодействия, шифрования и работы с цифровыми подписями в TinySSH задействована развиваемая Дэниэлом Бернштейном (Daniel J. Bernstein) библиотека NaCl [4] (Networking and Cryptography library), а также её урезанный вариант TweetNaCl [5]. Для дополнительно защиты может использоваться протокол передачи данных CurveCP [6], обеспечивающий версификацию каждого переданного пакета. Код проекта распространяется [7] как общественное достояние [8] (public domain).

Сервер поддерживает только аутентификацию на основе открытых ключей, организация входа через пароли не поддерживается. Разработчики также не планируют создание утилиты scp, вместо которой рекомендуют использовать "rsync -e ssh". Обмен ключами построен на базе функции Curve25519 [9], для цифровых подписей применяется схема Ed25519 [10], в качестве
транспортного протокола задействован "chacha20-poly1305@openssh.com" на основе алгоритмов потокового шифра ChaCha20 [11] и аутентификации сообщений Poly1305-AES [12].

В настоящее время проект находится на стадии экспериментального прототипа, первый альфа-выпуск ожидается в начале следующего года, а первый выпуск, пригодный для промышленного использования, запланирован на 2016 год. Текущая экспериментальная реализация TinySSH совместима с SSH-клиентом OpenSSH 6.5 и более новыми версиями. В будущем планируется обеспечить поддержку методов ecdsa-sha2-nistp256, ecdh-sha2-nistp256 и aes128-ctr/aes256-ctr.

Основные особенности TinySSH:

  • Исключение излишней функциональности, разработчики принципиально отказались от поддержки SSH1, сжатия, scp, sftp;
  • Использование проверенного и надёжного стороннего кода: система сборки, используемая в NaCl и CurveCP, применение tcpserver иcurvecpserver для создания организации приёма TCP и CurveCP соединений;
  • Лёгкость аудита - код состоит менее чем из 100 тысяч слов (~ 15 тысяч строк);
  • Не использование OpenSSL в качестве внешней зависимости, для работы TinySSH достаточно NaCl или TweetNaCl;
  • Неприменение динамических методов распределения памяти, вся память выделяется статически;
  • Отказ от авторских прав на код и перевод проекта в категорию общественного достояния;
  • Отказ от поддержки устаревших криптографических примитивов, таких как rsa, dsa, classic diffie-hellman, md5, sha1, 3des, arcfour и т.п.
  • Простая конфигурация, исключающая возникновение проблем с безопасностью из-за ошибок при настройке.
Источник: http://htfl.ru/predstavlen_novyy_zashchishchyonnyy_ssh_server_tinyssh

Ссылки:
[1] http://htfl.ru/news/tinyssh
[2] http://htfl.ru/cat-news-novosti-po
[3] /out.php?link=http://tinyssh.org/
[4] /out.php?link=http://nacl.cr.yp.to/
[5] /out.php?link=http://tweetnacl.cr.yp.to/
[6] /out.php?link=http://curvecp.org/
[7] /out.php?link=http://mojzis.com/software/tinyssh/install.html
[8] /out.php?link=http://ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%89%D0%B5%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%BE%D0%B5_%D0%B4%D0%BE%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%B8%D0%B5
[9] /out.php?link=http://cr.yp.to/ecdh.html
[10] /out.php?link=http://ed25519.cr.yp.to/
[11] /out.php?link=http://cr.yp.to/chacha.html
[12] /out.php?link=http://cr.yp.to/mac.html