Características

---

La lista siguiente enumera las características de Openssh:

• Proyecto de Código Abierto
• Licencia Libre
• Cifrado Fuerte (3DES, Blowfish)
• Reenvío por X11 (cifra el tráfico de XWindows)
• Reenvío por Puertos (canales cifrados por protocolos de legado)
• Autenticación Fuerte (Clave Pública, Contrasña de un sólo uso y Autenticación con Kerberos)
• Reenvío por Agente (ingreso único)
• Interoperabilidad (Conforme con las Normativas del Protocolo Remoto SSH 1.3, 1.5, y 2.0)
• Pases de Ticket de Kerberos y AFS
• Compresión de Datos

El código fuente de Openssh es de libre disponibilidad para todo aquel que desee obtenerlo en Internet. Se anima a todo el que desee reutilizar el código o hacer una auditoría sobre éste a que lo lleve a cabo. La revisión del código asegura que cualquier persona pueda encontrar y corregir errores. El resultado es un código seguro.

 Licencia Libre

OpenSSH no se encuentra bajo ninguna licencia restrictiva. Se puede usar para cualquier propósito, y esto incluye su uso comercial. Pensamos que el mundo estaría mejor si enrutadores, aparatos para redes, sistemas operativos, y el resto de dispositivos de red tuvieran ssh integrado en ellos.

Todos los componentes de naturaleza restrictiva (o sea, patentes, ver ssl) han sido eliminados del código fuente; los componentes bajo licencia o patentados se obtienen de bibliotecas externas (v.g. OpenSSL). El algoritmo de cifrado simétrico IDEA ya no se encuentra disponible, debido a que está patentado en muchos países. En su lugar, recomendamos que use cualquiera de los otros algoritmos de cifrado disponibles (no creemos que se pueda justificar el uso de un algoritmo de cifrado simétrico patentado, cuando existen muchos otros libres).

 Cifrado Fuerte

OpenSSH usa 3DES y Blowfish como algoritmos de cifrado. Ambos están libres de patentes. 3DES es un algoritmo de cifrado muy conocido y que ha pasado la prueba del tiempo, que provee cifrado fuerte. Blowfish es un bloque de cifrado rápido inventado por Bruce Schneier, que pueden usarlo aquéllos que requieran un cifrado más rápido. El cifrado empieza antes de la autentificación, y ninguna contraseña ni otro tipo de información se transmite sin cifrar. El cifrado también se utiliza como protección contra paquetes falsificados.

 Reenv&iocute;o por X11

El envío por X11 permite el cifrado del tráfico en entornos X windows remotos, de tal modo que nadie pueda fisgonear en sus xterm remotas o insertar órdenes dañinas. El programa activa DISPLAY automáticamente en el servidor, y envía cualquier conexión de X11 por un canal seguro. Información falsa sobre Xauthority se genera automáticamente y se envía a la máquina remota; el programa cliente en la máquina local examina las conexiones entrantes de X11 y reemplaza los datos de autorización falsos con datos reales (pero nunca le pasa a la máquina remota la información real).

 Reenvío por Puertos

El envío por puertos permite enviar conexiones de TCP/IP a una máquina remota por un canal cifrado. Las aplicaciones típicas de Internet como POP se pueden asegurar de este modo.

 Autenticación Fuerte

Una fuerte autentificación protege contra varios problemas de seguridad, como por ejemplo suplantación de IP (IP spoofing), rutas falsas (fake roots), y fisgoneo de DNS (DNS spoofing). Los métodos de autenticación son: .rhosts junto con huésped de autenticación basado en RSA, autenticación RSA pura, contraseñas para uso de una sola vez, y finalmente autenticación mediante Kerberos.

 Reenvío por Agente

Un agente de autenticación que se encuentre en la estación de trabajo o el portátil de un usuario, se puede usar para contener las claves de autenticación de RSA. OpenSSH envía la conexión automáticamente al agente de autenticación por medio de cualquier conexión y de este modo no existe la necesidad de guardar las claves de autenticación de RSA en ninguna máquina de la red (exceptuando la máquina del usuario). Los protocolos de autenticación nunca revelan las claves; sólo se pueden usar para verificar que el agente del usuario tenga cierta clave. El agente podría hacer uso de una tarjeta inteligente para llevar a cabo todas las computaciones de autenticación.

 Interoperabilidad

Las versiones de OpenSSH anteriores a la 2.0 contienen soporte para las versiones 1.3 y 1.5 del protocolo remoto SSH, permitiendo de este modo la comunicación entre la mayoría de implementaciones comerciales de SSH en Unix y Windows.

A partir de la versión 2.0 de OpenSSH, además del soporte para las versiones 1.3 y 1.5 del protocolo, OpenSSH también dispone de soporte para la versión 2.0 del protocolo SSH. Este protocolo evita el uso del algoritmo RSA -- ya que cuando se inventó el protocolo 2.0, la patente sobre RSA todavía existía -- y en su lugar usa el algoritmo libre DSA.

Por lo tanto, OpenSSH le ofrece lo mejor de los dos mundos. ¡Puede interoperar con los dos tipos de clientes y servidores!

 Pases de Tickets de Kerberos y AFS

OpenSSH también pasa tickets para Kerberos y AFS en la máquina remota. Un usuario puede por tanto acceder a todos sus servicios de Kerberos y AFS sin la necesidad de introducir una contraseña de nuevo.

 Compresión de Datos

La compresión de datos antes del cifrado mejora los resultados en los enlaces con redes lentas.