OpenSSH のバージョンに対する制限

[KEINOS]

OpenSSH or SSL のバージョンが低い場合に制限すべきか

• 関連 Issue 注意書きに "OPENSSH PRIVATE KEY" の話を追加したい #12: 「注意書きに "OPENSSH PRIVATE KEY" の話を追加したい」

QiiCipher は GitHub に置かれた公開鍵を中心としたファイルの暗号化・復号・署名のヘルパー・コマンド集です。

しかし、公開・秘密鍵を使った暗号ファイルのやりとりやファイルの署名に馴染みがない人向けに敷居を低くすることで、「パスワード付き ZIP から脱却してもらいたい」というのがゴールです。

そのため、できればそのようなユーザには、なるべく最新の OpenSSL のバージョンを使ってもらいたいな、と思います。

そこで QiiCipher のコマンドを実行したときに OpenSSH が v7.8 より低い場合は「使えない」、もしくは「セキュリティ・リスクのあるバージョンである」旨を表示させるのがパティーンだと思います。

例えば ssh -V で表示される情報を元に制限する、など。

$ ssh -V
OpenSSH_8.4p1, OpenSSL 1.1.1k  25 Mar 2021

しかし、自分で ssh-keygen や openssl rsautl を叩けないユーザが SSH や SSL のバージョンをアップできるのかというジレンマもあります。

かと言って、バージョンアップの方法まで提示するのも too much ですし、お寿司。どう思います？

$ enc KEINOS ./himitsu.txt
ヽ(`Д´)ﾉ ｳﾜｧｧｧﾝ　OpenSSH もしくは OpenSSL のセキュリティのバージョンが低いです。バージョンアップするか管理者にご相談ください。

[yoshi389111]

難しい問題ですね。個人的にはどちらが良いといった意見が定まっていません。

やるとして、気になるところをあげてみると

• どのバージョンより古いものを使用禁止にするか（方針をどうするか）
• OpenSSL/OpenSSHのバージョンアップは結構頻繁にあるけど、追従できるか
• バージョンが古くて、しかし簡単にバージョンアップができない環境で、暗号化ができないと困ることがないか（もちろん、自分でコマンドラインをたたけばよいだけですけど）

逆に、やった方が良いだろうと思うのは

• QiiCipher が動かないほど古いバージョンがあれば、チェックして警告を出すのはよさそう（想定外のエラーだと何が原因かわからないかもしれない）
• クリティカルな問題があるバージョンの場合（例えば、鍵ペアを作るときに乱数に偏りがあって攻撃可能な鍵を作ってしまうバージョンで鍵ペアを生成する場合）

などは、警告を出した方が良い気がしますよね

[KEINOS]

お返事ありがとうございます！

確かに方針を決めるのも追随とか大変ですものねぇ。

可能かはわかりませんが、とりあえずテストを一旦完了させてから：

1. テストが通らないバージョンがあったら、その次の（最初に通る）バージョンがミニマムバージョン
2. どのバージョンも通ってしまったら、クリティカルな問題があるバージョンの次のバージョンがミニマムバージョン

という流れはいかがでしょう。

と言いつつ、Docker に古い OpensSSH のオフィシャル・イメージってないんですよね。GitHub Actions のイメージにはあるのかしら。探してテストに使えそうなものがあったら、ここにポストして行きたいと思います。

[KEINOS]

提案: OpenSSH は 7.2 以降

Issue #51 の OpenSSH 8.3 以降からデフォルトで表示されるワーニングですが、-pbkdf2 オプションを付けると回避できるっぽいです。

• "OpenSSH 8.3 released (and ssh-rsa deprecation notice)" | Linux Weekly News @ lwn.net

この記事によると、-pbkdf2 オプションは OpenSSH 7.2 から使えるそうです。また、ed25519 の署名は OpenSSH 6.5から、ECDSA は OpenSSH 5.7 から使えることを考えると、OpenSSH の最低バージョンを 7.2 に限定しておけば、-pbkdf2 オプションをデフォルトに設定できるので、現時点でちょうど良いバージョンかなと思います。

[yoshi389111]

メモ：

バージョンの取得自体はどうやったらいいんでしょうかね。

ネットで ssh -V の出力イメージを調べると以下のようなものが見つかりました。

OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090605f
OpenSSH_4.3p2, OpenSSL 0.9.7e-p1 25 Oct 2004
OpenSSH_4.5p1, OpenSSL 0.9.7l 28 Sep 2006
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
OpenSSH_7.5p1, without OpenSSL
OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019
OpenSSH_8.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017
OpenSSH_8.4p1, OpenSSL 1.1.1k  25 Mar 2021

また、Windows 上では以下のようなものがあるようです。
(WSL や git bash ではなく、cmd から動くもの）

OpenSSH_for_Windows_7.6p1, LibreSSL 2.6.4
OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2

リリースノートを見ると、p1 などは必ず付く？

https://www.openssh.com/releasenotes.html

（Windows ネイティブを除いて）先頭の OpenSSH_ と、末尾の p* を削除して、 . で分割すればよいのかな？

[KEINOS]

p1 などは必ず付く？

どうやら必ずというわけではなさそうです。

https://www.openssh.com/txt/

p1 がマイナー・バージョンなのかと思いきや 3.6.1p2 なんてのもあるので違うみたい。どういう意味だろう？

3.6p1 or 3.6p2 -> 3.6, 3.6.1p2 -> 3.6.1 みたいに扱うのはどうですかね。（p* は切り捨て）

いただいた出力イメージのリストをみると、どれも最初に OpenSSL のバージョンが来ているので、それを前提にしたテストの叩き台を書いてみました。

#shellcheck shell=sh

# getVersion は引数の文字列から最初にマッチしたバージョンを抜き出します。
getVersion() {
    target="${1:?'引数が足りません'}"
    result=$(echo "${target}" | grep -o -E "([0-9]+\.){1}[0-9]+(\.[0-9]+)?" | head -n1)

    if [ "$result" = "" ]; then
        echo >&2 'バージョン情報が含まれていません'
        exit 1
    fi

    printf "%s" "$result"
}

Describe 'getVersion'
    Parameters
        '#1' 'OpenSSH_3.4p1, SSH protocols 1.5/2.0, OpenSSL 0x0090605f' '3.4'
        '#2' 'OpenSSH_3.4.3p1, SSH protocols 1.5/2.0, OpenSSL 0x0090605f' '3.4.3'
        '#3' 'OpenSSH_4.3p2, OpenSSL 0.9.7e-p1 25 Oct 2004' '4.3'
        '#4' 'OpenSSH_4.5p1, OpenSSL 0.9.7l 28 Sep 2006' '4.5'
        '#5' 'OpenSSH_7.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017' '7.4'
        '#6' 'OpenSSH_7.5p1, without OpenSSL' '7.5'
        '#7' 'OpenSSH_8.1p1, OpenSSL 1.1.1d  10 Sep 2019' '8.1'
        '#8' 'OpenSSH_8.4p1, OpenSSL 1.0.2k-fips  26 Jan 2017' '8.4'
    End

    Example "example ${1} should be ${3}"
        When run getVersion "$2"

        The output should equal "$3"
        The status should be success
    End
End

Describe 'failure of getVersion'
    It 'should return error and exit if arg is missing'
        When run getVersion

        The stderr should include '引数が足りません'
        The status should be failure # status is 1-255
    End

    It 'should return error and exit if version is missing'
        When run getVersion 'OpenSSH'

        The stderr should include 'バージョン情報が含まれていません'
        The status should be failure # status is 1-255
    End
End

[yoshi389111]

リリースノートを眺めていたら、p1 とかが付くものはポータブル版と書いてありました。

OpenSSH 3.6.1p2 (2003-04-30)

OpenSSH 3.6.1p2 was released on 2003-04-30. It is available from the mirrors listed at https://www.openssh.com/ .This is a release of the Portable version only.

どうやら、OpenBSD向けにリリースされているオリジナルが p1 などがないバージョンで、その他の Unix/Linux に移植がされたものが p1 などが付いたポータブル版のようですね。

• OpenSSH Portable Release
• wikipedia OpenSSH

開発プロセス

OpenSSHの開発は、まずOpenBSD上で安全・堅牢なプログラムを開発し、他のシステムでの実装はOpenBSD版を基にオペレーティングシステム依存部分のみを移植するという方針で行われている。移植版には、区別のためバージョン番号に、Portable release を意味する "p(数字)" が付けられる。

そうすると p2 など p の後ろの数字が増えるのは移植部分のbugfix、x.y.z のように z が付く/数字が増えるのはオリジナル側のbugfix、ってことですかね。

bugfixバージョンをチェックするのは難しそうなので、チェックするのは x.y 部分だけでも良い気がします。

[KEINOS]

ポータブル！なーるーほーどー。ポートされたバージョンだったのね。

Portable version という用語自体はチラリと目にはしていたのですが、Windows の PortableApp みたいに、USB に持ち運べるようなリンク・ライブラリがいらない系なのかと重いコンダラで完全スルーしてました！

ということで、「p* なしが本家」ということらしいし、おっしゃるように x.y で判断するのが現実的ですね。
そうしましょう！