OpenSSH 10.0, značajno ažuriranje široko prihvaćenog sigurne udaljene prijave i skupa alata za prenos datoteka, službeno je objavljen 9. aprila 2025. godine.
Ova prekretnica uvodi značajne promjene protokola, poboljšane sigurnosne karakteristike i kritična poboljšanja za pripremu za prijetnje kvantnog računarstva.
Najznačajnije sigurnosno poboljšanje je implementacija hibridnog post-kvantnog algoritma mlkem768x25519-sha256 kao zadanog za ključ dogovora.
Ovaj algoritam pruža zaštitu od potencijalnih kvantnih kompjuterskih napada uz održavanje kompatibilnosti unazad s tradicionalnim kriptografskim metodama.
Prema napomenama o izdanju, ovaj NIST standardizovani algoritam “garantovano nije ništa manje jak od popularnog curve25519-sha256 algoritma”, dok nudi bolje performanse od prethodnih zadanih postavki.
Što se tiče protokola, OpenSSH 10.0 dovršava dugotrajno zastarijevanje algoritma DSA potpisa, koje je počelo 2015. godine kada je prvobitno bio onemogućen prema zadanim postavkama.
Ovaj slab algoritam je u potpunosti uklonjen nakon ponovljenih upozorenja u protekloj godini, označavajući značajan korak ka jačim sigurnosnim standardima u cijelom SSH ekosistemu.
Izdanje također mijenja postavke šifrovanja, sada daje prioritet AES-GCM nad AES-CTR prilikom odabira metoda šifrovanja veze.
Ažurirana lista preferencija za šifrovanje je sada “Chacha20/Poly1305, AES-GCM (128/256) praćena AES-CTR (128/192/256)”.
Promjene protokola
Velika strukturna promjena utiče na komponentu servera (sshd), gdje je kod za autentifikaciju korisnika premješten iz binarne sshd-sesije po konekciji u novu namjensku sshd-auth binarnu datoteku.
Ovo razdvajanje osigurava da „ključna površina napada pre-autentifikacije ima potpuno odvojen adresni prostor od koda koji se koristi za ostatak veze“, značajno poboljšavajući sigurnosnu izolaciju.
Dodatno, razmjena ključeva Diffie-Hellman s konačnim poljem (metode “diffie-hellman-group*” i “diffie-hellman-group-exchange-*”) sada je po defaultu onemogućena u sshd-u.
Napomene o izdanju objašnjavaju ovu promjenu navodeći da je konačno polje Diffie-Hellman „sporo i računski skupo za isti nivo sigurnosti kao Elliptic Curve DH ili PQ ključ, dok ne nudi nikakve prednosti koje se mogu iskoristiti“.
Za sistemske administratore i napredne korisnike, OpenSSH 10.0 uvodi vrijedna poboljšanja konfiguracije, uključujući:
- Podrška za novu Match verziju u ssh_config i sshd_config, omogućavajući konfiguraciju zasnovanu na obrascima verzije OpenSSH kao što je “Upari verziju OpenSSH_10.*”
- Dodana podrška za tip sesije podudaranja za ssh_config radi razlikovanja između shell, exec, podsistema ili sesija samo za prosljeđivanje
- Poboljšane mogućnosti komande Match za ssh_config, omogućavajući konfiguraciju zasnovanu na daljinskim komandama
- Podrška za glob obrasce u sshd_config-ovim AuthorizedKeysFile i AuthorizedPrincipalsFile direktivama
Ispravke grešaka i manja ažuriranja
Izdanje se takođe odnosi na bezbjednosnu ranjivost u direktivi DisableForwarding, koja prethodno nije uspijela da ispravno onemogući X11 prosljeđivanje i prosljeđivanje agenta kao što je dokumentovano.
Korisnici bi trebali imati na umu da ova verzija uvodi promjene u scp i sftp, koji sada po defaultu prosljeđuju ControlMaster no na SSH, potencijalno utičući na tokove posla koji se oslanjaju na automatsko multipleksiranje.
Sa svojim robusnim sigurnosnim poboljšanjima i kriptografskim zadanim postavkama koje gledaju u budućnost, OpenSSH 10.0 predstavlja značajan napredak za sigurno daljinsko povezivanje u računarskom okruženju koje je sve više svjesno sigurnosti.
Izvor: CyberSecurityNews