OpenSSH 10.0 jača kriptografsku sigurnost i redizajnira arhitekturu provjere autentičnosti

  • OpenSSH 10.0 uklanja podršku za DSA algoritam, koji se smatra zastarjelim i ranjivim.
  • Hibridni post-kvantni algoritam ugrađen je kao zadani za razmjenu ključeva: mlkem768x25519-sha256.
  • Povećana izolacija procesa autentifikacije korisnika uvođenjem komponente "sshd-auth".
  • Poboljšanja upotrebljivosti, preferirane šifre, podrška za FIDO2 i opći popravci.
Pablinux

5 minuta

OpenSSH 10.0

La OpenSSH verzija 10.0 sada na raspolaganju s brojnim važnim poboljšanjima koja se odnose na sigurnost, postkvantnu kriptografiju i učinkovitost sustava. Ovo lansiranje predstavlja značajan korak prema jačanju sigurne komunikacijske infrastrukture protiv trenutnih i budućih prijetnji. Nadalje, ovaj napredak naglašava važnost držanja koraka s alate za šifriranje i sigurnost u tehnološkom svijetu koji se stalno razvija.

OpenSSH, jedna od najčešće korištenih SSH implementacija u svijetu, nastavlja se razvijati kako bi se prilagodio novim izazovima u kibernetičkoj sigurnosti. Ovaj put, verzija 10.0 ne samo da popravlja pogreške, već također uvodi strukturne i kriptografske promjene koje bi mogle utjecati na administratore sustava i programere.

OpenSSH 10.0 jača kriptografsku sigurnost

Jedna od najznačajnijih odluka bila je Potpuno uklonite podršku za algoritam potpisa DSA (Digital Signature Algorithm), koji je već godinama zastario i smatra se ranjivim na moderne napade. OpenSSH je već bio zastario, ali još uvijek podržan, što je predstavljalo nepotreban rizik.

Što se tiče razmjene ključeva, hibridni post-kvantni algoritam odabran je prema zadanim postavkama: mlkem768x25519-sha256. Ova kombinacija integrira shemu ML-KEM (standardiziranu od strane NIST-a) s X25519 eliptičnom krivuljom, nudeći otpornost na napade kvantnog računala bez žrtvovanja učinkovitosti u trenutnim sustavima. Ova promjena pozicionira OpenSSH kao pionira u usvajanju kriptografskih metoda pripremljenih za postkvantnu eru.

OpenSSh 10.0 redizajnira arhitekturu provjere autentičnosti

Jedno od tehničkih, ali relevantnih dostignuća je Odvajanje koda odgovornog za autentifikaciju vremena izvođenja u novu binarnu datoteku pod nazivom "sshd-auth". Ova izmjena učinkovito smanjuje površinu napada prije nego što se autentifikacija dovrši, budući da se nova binarna datoteka izvodi neovisno o glavnom procesu.

Ovom promjenom, korištenje memorije je također optimizirano, budući da se kod za provjeru autentičnosti preuzima nakon što se upotrijebi, poboljšavajući učinkovitost bez ugrožavanja sigurnosti.

FIDO2 podrška i poboljšanja konfiguracije

OpenSSH 10.0 također proširuje podršku za FIDO2 autentifikacijske tokene, uvodeći nove mogućnosti za provjeru FIDO atestiranih blobova. Iako je ovaj uslužni program još uvijek u eksperimentalnoj fazi i nije instaliran prema zadanim postavkama, on predstavlja korak prema robusnijoj i standardiziranoj autentifikaciji u modernim okruženjima.

Još jedan značajan dodatak je veća fleksibilnost u opcijama konfiguracije specifičnim za korisnika. Sada se mogu definirati precizniji kriteriji podudaranja, omogućujući preciznija pravila o tome kada i kako se primjenjuju određene SSH ili SFTP konfiguracije. U tom kontekstu, evolucija platformi kao što su OpenSSH 9.0 postavlja važan presedan u konfiguraciji ovih alata.

Optimizacija algoritama šifriranja

Što se tiče šifriranja podataka, Korištenje AES-GCM ima prioritet u odnosu na AES-CTR, odluka koja poboljšava i sigurnost i performanse na šifriranim vezama. Unatoč tome, ChaCha20/Poly1305 ostaje preferirani algoritam šifriranja, zbog svojih vrhunskih performansi na uređajima koji nemaju hardversko ubrzanje za AES.

Ostale tehničke i protokolarne promjene

Osim sigurnosti, Promjene su uvedene u upravljanje sesijom, kao i poboljšanja u otkrivanju vrste aktivne sesije. Ove izmjene imaju za cilj učiniti sustav prilagodljivijim različitim uvjetima povezivanja i korištenja.

Nadalje, provedeno je prilagodbe prenosivosti koda i održavanja, kao bolja organizacija za modularno rukovanje datotekama kriptografskih parametara (moduli), olakšavajući buduća ažuriranja i revizije.

Ispravci grešaka i upotrebljivost

Kao i kod svakog većeg izdanja, OpenSSH 10.0 uključuje razne popravke grešaka prijavili korisnici ili otkriveni u internim revizijama. Jedna od ispravljenih grešaka odnosi se na opciju "DisableForwarding", koja nije ispravno onemogućila prosljeđivanje X11 i agenta, kao što je navedeno u službenoj dokumentaciji.

Poboljšanja su također napravljena na korisničko sučelje za dosljednije iskustvo, uključujući otkrivanje sesije ili prilikom primjene određenih postavki. Ovi detalji, iako tehnički, imaju izravan utjecaj na stabilnost i pouzdanost softvera u proizvodnim okruženjima.

Još jedan detalj vrijedan pažnje je izgled alata naredbenog retka, iako još uvijek u eksperimentalnoj fazi, namijenjen za provjeru FIDO atestiranih mrlja. Ovo je dostupno u internim spremištima projekta, ali se ne instalira automatski.

OpenSSH nastavlja svoju evoluciju kao ključni stup u sigurnosti daljinske komunikacije. Ovo najnovije ažuriranje ne samo da odgovara na trenutne potrebe, već također predviđa buduće izazove kao što je pojava kvantnog računalstva. Povlačenjem zastarjelih tehnologija i prihvaćanjem standarda u nastajanju, projekt nastavlja učvršćivati ​​svoju središnju ulogu u zaštiti kritične digitalne infrastrukture.

IPFire 2.29 Jezgra 190
Povezani članak:
IPFire 2.29 Core 190: nova verzija koja jača kriptografiju i ispred je Wi-Fi 7

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.