Features

---

Das folgendende ist eine Liste der Fähigkeiten (Features) von OpenSSH:

• Open Source Projekt
• Freie Lizenzpolitik
• Starke Verschlüsselung (3DES, Blowfish)
• X11 Forwarding (verschlüsselt X Windows Netzwerkverkehr)
• Port Forwarding (verschlüsselte Kanäle für bestimmte Protokolle)
• Starke Autentifizierung (Public Key, Einmal-Passwort und Kerberos Autentifizierung)
• Agent Forwarding (Single-Sign-On)
• Interoperatibilität(Arbeitet kompatibel zu den SSH Remote Protokoll Standards 1.3, 1.5, und 2.0)
• Kerberos und AFS Ticket Passing
• Daten Kompression

Der OpenSSH Source Code ist für jeden frei über das Internet erhältlich. Das ermutigt zur Wiederverwendung und weiteren Untersuchung des Quellcodes. Diese weitere Untersuchung stellt sicher, dass Fehler von jedem gefunden und korrigiert werden können. Das führt zu sicherem Code.

 Free Licensing

OpenSSH wird nicht von einer restriktiven Lizenz beschränkt. Es kann für jeglichen Zweck genutzt werden, und das schliesst explizit auch kommerzielle Nutzung ein. Wir finden, dass die Welt besser wäre wenn jeder Router, Netzwerkgerät und jedes Betriebssystem ssh integriert hätte.

Alle Komponenten restriktiver Natur (z.B. Patente, siehe ssl) wurden aus dem SourceCode entfernt: jegliche lizensierten oder patentierten Teile werden aus externen Quellen bezogen (z.B. OpenSSL). Die symmetrische Chiffre IDEA ist nicht mehr verfügbar, da sie in vielen Ländern patentiert ist. Anstattdessen empfehlen wir die Benutzung einer der anderen verfügbaren Chiffren. (Wir sehen keine Rechtfertigung für die Benutzung einer patentierten symmetrischen Chiffre, zumal es so viele andere freie gibt).

+ Starke Verschlüsselung

OpenSSH benutzt 3DES und Blowfish als Verschlüsselungsalgorithmus. Sie sind beide patentfrei. Triple DES ist ein sehr gut verstandener Chiffrieralgorithmus, der den Zahn der Zeit übestanden hat und eine starke Verschlüsselung bereitstellt. Blowfish ist ein schneller Blockchiffrierer, der von Bruce Schneier entworfen wurde und von Leuten benutzt werden kann, die eine schnellere Verschlüsselung benötigen. Die Verschlüsselung beginnt vor der Authentifizierung und es werden keine Passwörter oder andere Daten im Klartext übermittelt. Verschlüsselung wird auch benutzt, um sich gegen sogenannte "spoof attacks" zu verteidigen, bei denen sich jemand als jemand anderes ausgibt.

 X11 Forwarding

X11 forwarding erlaubt die Verschlüsselung von X Windows Netzwerkverkehr, also Netzwerkübertragung, auf eine Weise, so dass niemand den Datenverkehr mitlesen kann oder bösartige Kommandos einschleusen kann. Das Programm setzt DISPLAY automatisch auf dem Server, und leitet jegliche X11-Verbindung über den sicheren Tunnel weiter. Gefälschte Xauthority Informationen werden automatisch generiert und an die entfernte Maschine weitergeleitet; der lokale Client untersucht autmatisch ankommende X11 Verbindungen und ersetzt die gefälschten Authorisierung-Daten mit den echten Daten. (und gibt der entfernten Maschine nie die echten Informationen).

 Port Forwarding

Port forwarding erlaubt das Weiterleiten von TCP/IP Verbindungen zu einer entfernten Maschine über ein verschlüsseltes Protokoll. Standard Internet Applikationen wie POP können damit sicherer gemacht werden.

 Starke Authentifikation

Starke Authentifizierung schützt gegen verschiedene Sicherheitsprobleme, z.B. IP spoofing, fakes routes, und DNS spoofing. Die Authentifizierungsmethoden sind: .rhosts zusammen mit RSA basierter Host Authentifizierung, pure RSA Authentifizierung, Einmal-Passwörter mit s/key, und letztlich Authentifizierung mittels Kerberos.

 Agent Forwarding

Ein Authentifizierungs Agent, der auf dem Laptop oder der lokalen Maschine des Users läuft, kann benutzt werden, um den RSA-Authentifizierungs-Schlüssel des Users bereitzuhalten. OpenSSH leitet die Verbindung automatisch an den Authenfizierungsagenten über jede Verbindung weiter, und es gibt keine Notwendigkeit die RSA Authentifizierungsschlüssel auf jeder Maschine im Netzwerk zu haben (mit Ausnahme der lokalen Maschine des Users). Die Authentifizierungsprotokolle geben die Schlüssel niemals preis; sie können nur dazu benutzt werden, um abzufragen, ob der User einen entsprechenden Schlüssel hat. Eventuell könnte der Agent auf einer Smart-Card beruhen, die alle Authentifizierungsberechnungen macht.

 Interoperatibilität

OpenSSH Versionen vor 2.0 unterstützen die SSH remote Protokoll Versionen 1.3 und 1.5, die es erlauben mit den meisten UNIX, Windows und anderen kommerziellen ssh Implementationen zu kommunizieren.

Mit OpenSSH Version 2.0, unterstützt OpenSSH neben den Protokoll Versionen 1.3 und 1.5 auch das SSH Protokoll Version 2.0. Dieses Protokoll vermeidet die Benutzung des RSA Algorithmus -- da zur Zeit der Einführung des Protokolls 2.0 das RSA Patent noch gültig war -- und benutzt stattdessen den frei benutzbare DSA Algorithmus.

Daher gibt dir OpenSSH das beste aus beiden Welten. Du kannst mit beiden Typen von ssh Clients und Servers interoperieren!

 Kerberos und AFS Ticket Passing

OpenSSH gibt auch Tickets für Kerberos und AFS an die entfernte Maschine weiter. Ein User daher auf alle seine Kerberos und AFS Dienste zugreifen, ohne sein Passwort wieder eintippen zu müssen.

 Daten Kompression

Datenkompression vor der Verschlüsselung beschleunigt die Leistung (performane) für langsame Netzwerkverbindungen.