Autoři projektu OpenSSH doplnili do jeho nástrojů ochranu proti útokům typu side-channel. Při nich mohou hackeři získávat citlivá data z paměti počítače. Nástroje OpenSSH nyní budou šifrovat nevyužité, resp. neaktivní privátní klíče SSH přímo v paměti počítače. Tato technika pomůže snížit dopady zranitelností Spectre, Meltdown, Rowhammer nebo Rambleed.
Ochranu do kódu OpenSSH implementoval Damien Miller, bezpečnostní výzkumník společnosti Google a jeden z hlavních vývojářů projektů OpenSSH a OpenBSD. Pokud útočníci s pomocí útoků typu side-channel získají přístup k privátním klíčům SSH, mohli s jejich pomocí bez hesla přistupovat ke vzdáleným serverům. Po aktualizaci nástrojů sice obsah paměti napadeného počítače stále dokáží extrahovat, samotné klíče ovšem budou v neaktivním stavu zašifrovány. Při podpisu nebo uložení proběhne jejich automatické a transparentní dešifrování.
Aktualizace teoreticky nepředstavuje zcela dokonalou ochranu proti side-channel útokům, zásadně však zvyšuje nároky na jejich realizaci. Hackeři by museli s velkou přesností získat také celý datový záznam tzv. prekey, jenž je tvořen náhodnými daty a odvozují se z něj symetrické klíče. Poté by dešifrování privátního klíče teoreticky zvládli. Současné útoky ale vykazují jisté obsahové chyby, jež v kumulativní podobě tento postup víceméně znemožňují.
Tvůrci projektu OpenSSH předpokládají, že nově přidanou ochranu budou moci v průběhu několika let odstranit. Výrobci procesorů totiž zinovují jejich architekturu, učiní ji méně nebezpečnou. Klient OpenSSH patří k výchozím administrátorským nástrojům, jež zprostředkovávají zabezpečenou komunikaci, ve většině současných operačních systémů.
