数日前 OpenSSH10.0の新しいバージョンのリリースが発表されましたこれにより、セキュリティ、効率性、そして量子暗号などの将来の技術的課題への備えにおいて、一連の重要な変化がもたらされます。
この新しいバージョン DSAのサポートを永久に削除します。 新しいsshd-authモジュールで認証プロセスの分離を強化し、 ハイブリッドアルゴリズムを採用 耐量子鍵交換。高度な表現と柔軟性の向上による構成の改善が導入され、従来の Diffie-Hellman を無効にすることでアルゴリズムが最新化されます。
DSA は OpenSSH 10.0 で完全に廃止されます
OpenSSH 10.0の最も重要な変更点の一つは、 DSAベースのデジタル署名のサポートを完全に削除現在のセキュリティ基準を満たしていないため、長い間時代遅れと考えられてきたアルゴリズムです。 2015 年以降、DSA キーの使用はデフォルトで無効になっていましたが、現在ではコードベースから DSA キーのサポートは完全に削除されています。
認証プロセスの分離強化
OpenSSH 10.0のもう一つの新機能は、 sshd サーバーの重要なコンポーネントを段階的に分離します。 OpenSSH 9.8 では sshd が分割されていましたが、この新しいバージョンでは認証コードが sshd-auth と呼ばれる別のプロセスに移動されています。これにより、認証に関連する機密データを別のメモリ領域に分離したままにすることができ、認証前の潜在的な脆弱性に対する追加の保護層が提供されます。さらに、認証が完了した後にこのコードをダウンロードすると、メモリ使用量がわずかに削減されます。
量子耐性鍵交換
OpenSSH 10.0は、デフォルトで ハイブリッド鍵交換アルゴリズム その X25519 ECDHとML-KEMを組み合わせた (CRYSTALS-Kyber)、mlkem768x25519-sha256 と呼ばれます。これ 量子攻撃に対する耐性を提供する これは、ネットワーク理論の問題に基づく暗号化を使用することで、古典的アーキテクチャと量子アーキテクチャの両方で同じ計算難度を維持できるためです。どちらのアルゴリズムも NIST によって標準化されており、その堅牢性に対する信頼が強化されています。
高度な表現と柔軟な構成
バージョン10.0 ssh_config および sshd_config 構成ファイルに大幅な改善を加えます。 SetEnv および User ディレクティブでトークンの置換と環境変数の拡張がサポートされるようになり、より動的な構成が容易になりました。また、検出された OpenSSH バージョンに基づいて条件付きルールを適用できる「バージョンの一致」オプションも追加されました。
さらに、セッション タイプ (Match sessiontype)、特定のコマンド (Match exec-command)、さらには空のタグや省略されたコマンドに基づく条件を含む、Match 式のサポートが拡張されました。
OpenSSH 10.0 におけるアルゴリズム、暗号、および新しい制御の変更
続行します レガシーアルゴリズムの排除OpenSSH 10.0では、有限体ベースのDiffie-Hellmanの使用をデフォルトで無効にし、diffie-hellman-group*とdiffie-hellman-group-exchange-*の変種を削除し、代わりにより現代的で効率的なアルゴリズムを優先します。
さらに 運用上の安全性が強化されます。 ssh-agent は、SIGUSR1 シグナルを受信するとロードされたすべてのキーをフラッシュするようになりました。また、LISTEN_PID および LISTEN_FDS フラグを使用して systemd スタイルのソケットを有効にする機能が追加されました。
の分野で ハードウェア認証、ssh-keygenはFIDOトークンのサポートを追加 Windows Hello などの認証データを返さないもの。キー登録中に FIDO デバイスによって生成されたデータを検証するように設計された新しい実験的なユーティリティ ssh-verify-attestation も含まれています。
クライアントの改善、ツール、および高度な構成
SSHクライアント VersionAddendumオプションを組み込んでおり、 これにより、バージョン ラインにカスタム テキストを追加できるようになります。この機能は、以前はサーバー上でのみ利用可能でした。 scp および sftp ユーティリティには、既存の接続の再利用を防ぐデフォルト オプションが追加され、セキュリティとセッション制御が向上しました。
AuthorizedKeysFile および AuthorizedPrincipalsFile ディレクティブでファイル マスクが許可されるようになり、複数のユーザーまたは動的構成を持つシステムでのキー管理が容易になります。
ポータブル版の変更とセキュリティ強化
OpenSSH 10.0のポータブル版では、 AWS-LCのサポート互換性とパフォーマンスを目的として Amazon が開発した暗号化ライブラリ。合計すると wtmpdbのサポート、 2038 年問題に耐性のある wtmp の最新バージョン。さらに、sshd をメモリにロックし、FIDO セキュリティ キーに重点を置いたスタンドアロンの sk-libfido2 ライブラリを構築するための新しいコンパイラ オプションも含まれています。
最後に、重大なセキュリティ問題が修正されました。 DisableForwarding ディレクティブが X11 転送を正しく無効化しませんでした ssh-agent の呼び出しも行いません。これらのオプションはサーバーとクライアントでそれぞれデフォルトで無効になっていますが、修正により一貫性のある安全な動作が保証されます。
もしあなたが それについてもっと知りたい、詳細はで確認できます 次のリンク。
Linux に OpenSSH をインストールするにはどうすればよいですか?
この新しいバージョンのOpenSSHをシステムにインストールできるようにすることに関心がある人は、 今のところ彼らはそれを行うことができます これのソースコードをダウンロードして コンピューターでコンパイルを実行します。
これは、新しいバージョンがメインのLinuxディストリビューションのリポジトリにまだ含まれていないためです。 ソースコードを取得するには、 次のリンク.
ダウンロードを完了し、 次に、次のコマンドを使用してパッケージを解凍します。
tar -xvf openssh-10.0.tar.gz
作成したディレクトリに入ります。
cdopenssh-10.0
Y でコンパイルできます 次のコマンド:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install