![[OpenSSH]](../images/smalltitle.gif){kind=small}
Es folgt eine Liste der Fähigkeiten von OpenSSH:
Der OpenSSH-Quelltext ist für jeden frei über das Internet erhältlich. Das ermutigt zur Wiederverwendung und weiteren Untersuchung des Quelltextes. Diese weitere Untersuchung stellt sicher, dass Fehler von jedem gefunden und korrigiert werden können. Das führt zu sicherem Code.
Freie Lizenzpolitik
OpenSSH wird nicht von einer restriktiven Lizenz eingeschränkt. Es kann für jeglichen Zweck eingesetzt werden und das schließt auch jegliche kommerzielle Nutzung ein. Die Lizenz für OpenSSH ist selbstverständlich der Distribution beigefügt. Wir sind der Meinung, dass die Welt besser wäre, wenn Router, Netzwerkgeräte, Betriebssysteme und alle anderen Netzwerkkomponenten ssh integriert hätten.
Alle Komponenten restriktiver Natur (z. B. Patente, siehe ssl) wurden aus dem Quellcode entfernt: Jegliche lizenzierten oder patentierten Teile werden aus externen Quellen bezogen (z. B. OpenSSL). Die symmetrische Chiffre IDEA ist nicht mehr verfügbar, da sie in vielen Ländern patentiert ist. Stattdessen empfehlen wir die Benutzung einer der anderen verfügbaren Chiffren. (Wir sehen keine Rechtfertigung für die Benutzung einer patentierten symmetrischen Chiffre, zumal es so viele andere freie gibt).
Starke Verschlüsselung
OpenSSH unterstützt 3DES, Blowfish, AES und Arcfour als
Verschlüsselungsalgorithmen. Sie sind patentfrei.
Triple DES ist ein sehr gut verstandener
Chiffrieralgorithmus, der den Zahn der Zeit überstanden hat und eine
starke Verschlüsselung bereitstellt.
Blowfish ist ein schneller Blockchiffrierer, der von
Bruce Schneier entworfen wurde und von Leuten benutzt werden kann,
die eine schnellere Verschlüsselung benötigen.
AES ist der
verbesserte Verschlüsselungsstandard des US Federal
Information Processing Standard (FIPS), der als Ersatz für DES
entwickelt wurde. Dabei handelt es sich um eine Blockchiffre.
Arcfour ist eine schnelle Stromchiffre. Sie wird als
kompatibel zu RC4[TM] angesehen, einer proprietären Chiffre
von RSA Security Inc.
Die Verschlüsselung beginnt vor der Authentifizierung und es werden keine Passwörter oder andere Daten im Klartext übermittelt. Verschlüsselung wird auch benutzt, um sich gegen sogenannte Spoof-Angriffe zu verteidigen, bei denen sich eine Person als jemand anderes ausgibt.
X11-Weiterleitung
X11-Weiterleitung erlaubt die Verschlüsselung von X-Windows-Netzwerkverkehr, also Netzwerkübertragung, auf eine Weise, die niemanden den Datenverkehr mitlesen oder bösartige Kommandos einschleusen lässt. Das Programm setzt DISPLAY automatisch auf dem Server und leitet jegliche X11-Verbindung über den sicheren Tunnel weiter. Gefälschte Xauthority-Informationen werden automatisch generiert und an die entfernte Maschine weitergeleitet; der lokale Client untersucht automatisch ankommende X11-Verbindungen und ersetzt die gefälschten Authorisierungsdaten mit den echten Daten (und gibt der entfernten Maschine nie die echten Informationen).
Port-Weiterleitung
Port-Weiterleitung erlaubt die Weiterleitung von TCP/IP-Verbindungen zu einer entfernten Maschine über ein verschlüsseltes Protokoll. Standard-Internetapplikationen wie POP können damit sicherer gemacht werden.
Starke Authentifizierung
Starke Authentifizierung schützt gegen verschiedene Sicherheitsprobleme, z. B. IP-Spoofing, gefälschte Routen, und DNS-Spoofing. Die Authentifizierungsmethoden sind: .rhosts zusammen mit RSA-basierter Hostauthentifizierung, pure RSA-Authentifizierung, Einmal-Passwörter mit s/key und letztlich Authentifizierung mittels Kerberos.
Agentweiterleitung
Ein Authentifizierungsagent, der auf dem Laptop oder der lokalen Maschine des Anwenders läuft, kann benutzt werden, um den RSA- oder DSA-Authentifizierungsschlüssel des Anwenders bereitzuhalten. OpenSSH leitet die Verbindung automatisch an den Authentifizierungsagenten über jede Verbindung weiter, und es gibt keine Notwendigkeit, die RSA-Authentifizierungsschlüssel auf jeder Maschine im Netzwerk zu haben (mit Ausnahme der lokalen Maschine des Benutzers). Die Authentifizierungsprotokolle geben die Schlüssel niemals preis; sie können nur dazu benutzt werden, um abzufragen, ob der Benutzer einen entsprechenden Schlüssel hat. Eventuell könnte der Agent auf einer Smart-Card beruhen, die alle Authentifizierungsberechnungen macht.
Interoperabilität
OpenSSH-Versionen vor 2.0 unterstützen die SSH-1.3- und -1.5-Protokolle, die es erlauben, mit den meisten Unix-, Windows- und anderen, kommerziellen SSH-Implementationen zu kommunizieren.
Seit der Version 2.0 unterstützt OpenSSH neben den SSH-Protokollversionen 1.3 und 1.5 auch die SSH-Protokollversion 2.0. Dieses Protokoll vermeidet die Benutzung des RSA-Algorithmus - da zur Zeit der Einführung des Protokolls 2.0 das RSA-Patent noch gültig war - und benutzt stattdessen die frei benutzbaren DH- und DSA-Algorithmen.
Daher gibt dir OpenSSH das Beste aus beiden Welten. Du kannst mit beiden Typen von SSH-Clients und -Servern arbeiten und kommunizieren!
SFTP-Client- und -Serverunterstützung in sowohl dem SSH1- als auch dem SSH2-Protokoll
Seit OpenSSH 2.5.0 ist komplette SFTP-Unterstützung integriert; dazu wird das sftp(1)-Kommando als Client benutzt. Das sftp-server(8)-Subsystem arbeitet automatisch mit sowohl dem SSH1- als auch dem SSH2-Protokoll.
Kerberos- und AFS-Ticketpassing
OpenSSH gibt auch Tickets für Kerberos und AFS an die entfernte Maschine weiter. Ein Benutzer kann daher auf alle seine Kerberos- und AFS-Dienste zugreifen, ohne sein Passwort wieder eintippen zu müssen.
Datenkompression
Datenkompression vor der Verschlüsselung beschleunigt die Leistung über langsame Netzwerkverbindungen.
www@openbsd.org