Megjelent az OpenSSH 10 – merész kriptográfiai változtatásokkal

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

Az OpenSSH 10-es verziója jelentős kriptográfiai átalakításokat és új biztonsági megoldásokat hozott. A nyílt forráskódú, titkosított kapcsolatokon át történő távoli bejelentkezés és fájlátvitel egyik legismertebb eszközkészlete ismét szintet lépett. Az új kiadás kiemelt figyelmet szentel a biztonságnak, továbbá számos hibát is javítottak

Új korszak kezdődik az OpenSSH életében

Az OpenSSH projekt, amelyet az OpenBSD közösség fejleszt és tart karban, bejelentette a népszerű biztonságos kapcsolódási és fájlátviteli eszköztár, az OpenSSH 10-es verziójának megjelenését. Az új kiadás már letölthető az OpenSSH hivatalos tükörszervereiről. A frissítés egyik legfontosabb változása a régóta gyengének számító DSA (Digital Signature Algorithm) támogatásának végleges eltávolítása. Bár a DSA algoritmus alapértelmezett támogatása már 2015-ben megszűnt, az OpenSSH fejlesztői mostanra teljesen kiiktatták azt a rendszerből, végleg lezárva egy korszakot.

Fontos változások: többet, mint egy egyszerű verziófrissítés

Az OpenSSH 10 több, rendszergazdák számára figyelemre méltó, potenciálisan konfigurációt érintő módosítást is tartalmaz. Ilyen például, hogy az scp és sftp mostantól alapértelmezetten a ControlMaster no paramétert adják át az SSH-nak, ezzel megakadályozva a váratlan és implicit többcsatornás (multiplex) kapcsolatok létrejöttét. Ez a módosítás tisztább kapcsolatkezelést biztosít, bár azok, akik eddig automatikus multiplexálásra támaszkodtak, érdemes, hogy átnézzék beállításaikat.

Egy másik érdekes részlet, hogy a verziószám közvetlenül a 10-es főverzióra ugrott. Ez problémát okozhat azon rendszerek és scriptek számára, amelyek például a OpenSSH_1* mintázat alapján azonosítják a szoftververziót. A fejlesztők kifejezetten felhívják a figyelmet, hogy ilyen esetekben a rendszergazdák vizsgálják meg a szoftverfrissítés hatását.

Új szerverarchitektúra: kisebb támadási felület

Az sshd szerveroldali komponensében is mélyreható változtatások történtek: a felhasználóazonosítási (user authentication) kód kikerült az egyes kapcsolatokhoz létrejövő sshd-session folyamatból, és különálló binárisba, az sshd-auth-ba költözött. Ez a megközelítés jelentősen csökkenti a pre-authentikációs támadási felületet, növelve ezzel a rendszer általános biztonságát. Emellett alapértelmezetten letiltották a véges mezős Diffie-Hellman kulcscsere (Finite Field Diffie-Hellman, modp) módszert, amelyet az elliptikus görbéken alapuló (Elliptic Curve Diffie-Hellman, ECDH) megoldások már hosszú ideje túlszárnyalnak teljesítményben és biztonságban is.

Post-Quantum védelem és további újdonságok

Az OpenSSH 10 legérdekesebb újítása a hibrid post-quantum kulcscsere algoritmus, amely az mlkem768x25519-sha256 nevet kapta. Ez az algoritmus kombinálja a klasszikus és a kvantumszámítógépekkel szembeni ellenálló képességet, így a jövőbiztos titkosítás felé tett fontos lépésként értékelhető.

Egyéb jelentős változtatások:

  • Titkosítási preferenciák frissítése: az AES-GCM titkosítás elsőbbséget élvez az AES-CTR-rel szemben, de továbbra is a ChaCha20/Poly1305 marad az elsődleges választás a teljesítmény és megbízhatóság miatt.
  • Konfigurációs rugalmasság: a %-tokenek és környezeti változók mostantól több ssh_config direktívában is használhatók, például a SetEnv és User esetében, ami rugalmasabb konfigurációs lehetőségeket biztosít.
  • Finomhangolt szabályok: az új Match szabályok lehetővé teszik, hogy helyi OpenSSH verzió vagy munkamenet típusa (például shell, exec, subsystem, none) alapján is szabályozható legyen a viselkedés.
  • További kényelmi fejlesztések: új mintázat-illesztési lehetőségek az sshd_config fájlban (például AuthorizedKeysFile, AuthorizedPrincipalsFile), illetve még kifinomultabb FIDO token-kezelési opciók az ssh-agent számára.

Hiba- és stabilitásjavítások

Természetesen nem maradtak el a hibajavítások sem. Az új kiadás finomítja például az ObscureKeystrokeTiming védelmet X11 forwarding esetén, jobb támogatást nyújt a nagyméretű sshd konfigurációs fájlok kezeléséhez, és robusztusabb visszaesési mechanizmusokat biztosít a Diffie-Hellman Group Exchange esetén. Az sftp és ssh néhány apró, de bosszantó sarkalatos esete is javításra került.

Az OpenSSH 10 nem csupán egy egyszerű verziófrissítés, hanem egy átgondolt, hosszú távú biztonsági fejlesztés, amely reflektál a kvantumszámítástechnika és a modern kriptográfiai irányzatok kihívásaira. Az OpenSSH 9.3 továbbra is a nyílt forrású ssh-kliens és ssh-szerver legstabilabb és legmegbízhatóbb verziója. Az új verzió további funkciókat és biztonsági javításokat tartalmaz, amelyek biztonságosabbá és jövőállóvá teszik az internetes kapcsolatokat, valamint javítják az OpenSSH használhatóságát és teljesítményét. Az OpenSSH projekt továbbra is dolgozik azon, hogy tovább fejlessze és javítsa a szoftvert, és biztonságosabb és hatékonyabb eszközöket biztosítson a felhasználók számára. Letöltések és további részletek az OpenSSH 10-ról az OpenSSH.com oldalon.

Letöltés