![[OpenSSH]](../images/smalltitle.gif){kind=small}
La lista siguiente enumera las características de Openssh:
El código fuente de Openssh es de libre disponibilidad para todo aquel que desee obtenerlo en Internet. Se anima a todo el que desee reutilizar el código o hacer una auditoría sobre éste a que lo lleve a cabo. La revisión del código asegura que cualquier persona pueda encontrar y corregir errores. El resultado es un código seguro.
Licencia Libre
OpenSSH no se encuentra bajo ninguna licencia restrictiva. Se puede usar para cualquier propósito, y esto incluye su uso comercial. La licencia para OpenSSH se encuentra incluida en la distribución. Pensamos que el mundo estaría mejor si enrutadores, aparatos para redes, sistemas operativos, y el resto de dispositivos de red tuvieran ssh integrado en ellos.
Todos los componentes de naturaleza restrictiva (o sea, patentes, ver
ssl)
han sido eliminados del código fuente;
los componentes bajo licencia o patentados se obtienen de bibliotecas
externas (v.g. OpenSSL).
El algoritmo de cifrado simétrico IDEA ya no se
encuentra disponible, debido a que está patentado en muchos
países. En su lugar, recomendamos que use cualquiera de los
otros algoritmos de cifrado disponibles (no creemos que se pueda
justificar el uso de un algoritmo de cifrado simétrico
patentado, cuando existen muchos otros libres).
Cifrado Fuerte
OpenSSH soporta 3DES, Blowfish, AES y Arcfour como algoritmos
de cifrado. Todos ellos están libres de patentes.
Triple DES es un algoritmo de cifrado muy conocido y que ha
pasado la prueba del tiempo, que provee cifrado fuerte.
Blowfish es un algoritmo de cifrado rápido de bloque inventado
por Bruce Schneier, que pueden usarlo aquéllos que requieran un
cifrado más rápido.
AES es la
Norma Avanzada de Cifrado (AES por sus siglas en inglés) de la
Norma Federal de Procesamiento de Información de los Estados Unidos de
América (FIPS por sus siglas en inglés)
desarrollado para reemplazar a DES. Es un algoritmo de cifrado rápido de
bloque.
Arcfour es un cifrador rápido de flujo. Se piensa que es compatible
con RC4[TM], un cifrador privativo de RSA Security Inc.
El cifrado empieza antes de la autenticación, y ninguna contraseña ni otro tipo de información se transmite sin cifrar. El cifrado también se utiliza como protección contra paquetes falsificados.
Reenvío por X11
El envío por X11 permite el cifrado del tráfico en entornos X windows remotos, de tal modo que nadie pueda fisgonear en sus xterm remotas o insertar órdenes dañinas. El programa activa DISPLAY automáticamente en el servidor, y envía cualquier conexión de X11 por un canal seguro. Información falsa sobre Xauthority se genera automáticamente y se envía a la máquina remota; el programa cliente en la máquina local examina las conexiones entrantes de X11 y reemplaza los datos de autorización falsos con datos reales (pero nunca le pasa a la máquina remota la información real).
Reenvío por Puertos
El envío por puertos permite enviar conexiones de TCP/IP a una máquina remota por un canal cifrado. Las aplicaciones típicas de Internet como POP se pueden asegurar de este modo.
Autenticación Fuerte
Una fuerte autentificación protege contra varios problemas de
seguridad, como por ejemplo suplantación de IP (IP
spoofing), rutas falsas (fake roots), y fisgoneo de DNS
(DNS spoofing).
Los métodos de autenticación son: .rhosts junto
con huésped de autenticación basado en RSA,
autenticación RSA pura, contraseñas para uso
de una sola vez, y finalmente autenticación mediante
Kerberos.
Reenvío por Agente
Un agente de autenticación que se encuentre en la estación de trabajo o el portátil de un usuario, se puede usar para contener las claves de autenticación de RSA o DSA. OpenSSH envía la conexión automáticamente al agente de autenticación por medio de cualquier conexión y de este modo no existe la necesidad de guardar las claves de autenticación de RSA o DSA en ninguna máquina de la red (exceptuando la máquina del usuario). Los protocolos de autenticación nunca revelan las claves; sólo se pueden usar para verificar que el agente del usuario tenga cierta clave. El agente podría hacer uso de una tarjeta inteligente para llevar a cabo todas las computaciones de autenticación.
Interoperabilidad
Las versiones de OpenSSH anteriores a la 2.0 contienen soporte para los protocolos SSH 1.3 y SSH 1.5, permitiendo de este modo la comunicación con la mayoría de implementaciones comerciales de SSH en Unix y Windows.
A partir de la versión 2.0 de OpenSSH, además del soporte
para el protocolo SSH 1.3 y protocolo SSH 1.5, OpenSSH también
dispone de soporte para el protocolo SSH 2.0. Este protocolo evita el
uso del algoritmo RSA -- ya que cuando se inventó
el protocolo 2.0, la patente sobre RSA todavía
existía -- y en su lugar usa los algoritmos libres
DH y DSA.
Por lo tanto, OpenSSH le ofrece lo mejor de los dos mundos. ¡Puede interoperar con ambos tipos de clientes y servidores de SSH!
Soporte para cliente y servidor en los protocolos SSH1 y SSH2
A partir de la versión 2.5.0, OpenSSH incluye soporte completo para SFTP; la orden que se usa para el cliente es sftp(1). El subsistema sftp-server(8) funciona de forma automática en los protocolos SSH1 y SSH2.
Pases de Tickets de Kerberos y AFS
OpenSSH también pasa tickets para Kerberos y AFS en la máquina remota. Un usuario puede por tanto acceder a todos sus servicios de Kerberos y AFS sin la necesidad de introducir una contraseña de nuevo.
Compresión de Datos
La compresión de datos antes del cifrado mejora los resultados en los enlaces con redes lentas.
www@openbsd.org