Acum cateva zile a fost anunțată lansarea noii versiuni de OpenSSH 10.0, care aduce cu sine o serie de schimbări semnificative în securitate, eficiență și pregătire pentru viitoarele provocări tehnologice, cum ar fi criptografia post-cuantică.
Această nouă versiune elimină definitiv suportul pentru DSA, întărește izolarea procesului de autentificare cu noul modul sshd-auth și adoptă un algoritm hibrid schimb de chei rezistente la cuantice. Introduce îmbunătățiri de configurare cu expresii avansate și flexibilitate mai mare și își modernizează algoritmii prin dezactivarea vechiului Diffie-Hellman.
DSA își spune la revedere definitiv în OpenSSH 10.0
Una dintre cele mai importante modificări în OpenSSH 10.0 este Eliminarea completă a suportului pentru semnăturile digitale bazate pe DSA, un algoritm considerat de mult timp învechit pentru că nu respectă standardele actuale de securitate. Deși utilizarea cheilor DSA a fost dezactivată implicit din 2015, suportul pentru acestea a fost acum complet eliminat din baza de cod.
Izolare mai mare a procesului de autentificare
O altă caracteristică nouă în OpenSSH 10.0 este separarea progresivă a componentelor critice ale serverului sshd. În timp ce în OpenSSH 9.8 sshd a fost divizat, în această nouă versiune codul de autentificare este mutat într-un proces separat numit sshd-auth. Acest lucru permite datelor sensibile legate de autentificare să rămână izolate într-un spațiu de memorie separat, oferind un nivel suplimentar de protecție împotriva potențialelor vulnerabilități de pre-autentificare. În plus, descărcarea acestui cod după ce autentificarea este completă are ca rezultat o uşoară reducere a utilizării memoriei.
Schimb de chei rezistent la cuantum
OpenSSH 10.0 se remarcă prin adoptarea, implicit, a unui algoritm hibrid de schimb de chei că combină X25519 ECDH cu ML-KEM (CRYSTALS-Kyber), numit mlkem768x25519-sha256. Acest oferă rezistență la atacurile cuantice datorită utilizării criptografiei bazate pe probleme de teorie a rețelelor, care mențin aceeași dificultate de calcul atât în arhitectura clasică, cât și în cea cuantică. Ambii algoritmi sunt standardizați de NIST, întărind încrederea în robustețea lor.
Expresii avansate și flexibilitate de configurare
Versiunea 10.0 adaugă îmbunătățiri substanțiale fișierelor de configurare ssh_config și sshd_config. Înlocuirea jetoanelor și extinderea variabilelor de mediu sunt acum acceptate în directivele SetEnv și User, facilitând configurații mai dinamice. Se adaugă și opțiunea Match version, care vă permite să aplicați reguli condiționate bazate pe versiunea OpenSSH detectată.
În plus, suportul pentru expresiile Match este extins, incluzând condiții bazate pe tipul de sesiune (Match sessiontype), comenzi specifice (Match exec-command) și chiar etichete goale sau comenzi omise.
Modificări ale algoritmilor, cifrurilor și comenzilor noi în OpenSSH 10.0
Continuând cu eliminarea algoritmilor vechi, OpenSSH 10.0 dezactivează implicit utilizarea Diffie-Hellman bazată pe câmpuri finite, eliminând variantele diffie-hellman-group* și diffie-hellman-group-exchange-* și, în schimb, acordând prioritate algoritmilor mai moderni și eficienți
de asemenea siguranța operațională este consolidată: ssh-agent acum șterge toate cheile încărcate la primirea semnalului SIGUSR1 și a fost adăugată capacitatea de a activa socket-uri în stil systemd folosind steagurile LISTEN_PID și LISTEN_FDS.
În domeniul autentificare hardware, ssh-keygen adaugă suport pentru jetoanele FIDO care nu returnează date de certificare, cum ar fi Windows Hello. Este inclus și un nou utilitar experimental, ssh-verify-attestation, conceput pentru a valida datele generate de dispozitivele FIDO în timpul înregistrării cheilor.
Îmbunătățiri pentru clienți, instrumente și configurație avansată
Clientul SSH încorporează opțiunea VersionAddendum, care vă permite să adăugați text personalizat la linia de versiune, o caracteristică care era disponibilă anterior doar pe server. Utilitarele scp și sftp obțin o opțiune implicită care împiedică reutilizarea conexiunilor existente, îmbunătățind securitatea și controlul sesiunii.
Măștile de fișiere sunt acum permise în directivele AuthorizedKeysFile și AuthorizedPrincipalsFile, facilitând gestionarea cheilor pe sisteme cu mai mulți utilizatori sau configurații dinamice.
Modificări ale versiunii portabile și îmbunătățiri de securitate
În versiunea portabilă a OpenSSH 10.0, este implementat suport pentru AWS-LC, o bibliotecă criptografică dezvoltată de Amazon în scopuri de compatibilitate și performanță. Se adună suport pentru wtmpdb, O versiune modernă a wtmp care este rezistentă la problema Anului 2038. În plus, sunt incluse noi opțiuni de compilare pentru a bloca sshd în memorie și pentru a construi o bibliotecă autonomă sk-libfido2 axată pe cheile de securitate FIDO.
În cele din urmă, o problemă critică de securitate este remediată: the Directiva DisableForwarding nu a dezactivat corect redirecționarea X11 nici apeluri către ssh-agent. Deși aceste opțiuni sunt dezactivate implicit pe server și, respectiv, pe client, remedierea asigură un comportament consecvent și sigur.
Dacă ești interesat să afle mai multe despre asta, puteți verifica detaliile în următorul link.
Cum se instalează OpenSSH pe Linux?
Pentru cei care sunt interesați să poată instala această nouă versiune de OpenSSH pe sistemele lor, deocamdată o pot face descărcând codul sursă al acestuia și efectuând compilarea pe computerele lor.
Acest lucru se datorează faptului că noua versiune nu a fost încă inclusă în depozitele principalelor distribuții Linux. Pentru a obține codul sursă, puteți face de la următorul link.
Descărcarea a fost efectuată, acum vom dezarhiva pachetul cu următoarea comandă:
tar -xvf openssh-10.0.tar.gz
Intrăm în directorul creat:
cd openssh-10.0
Y putem compila cu următoarele comenzi:
./configure --prefix = / opt --sysconfdir = / etc / ssh make make install