OpenSSH 10.0 vahvistaa kryptografista turvallisuutta ja suunnittelee todennusarkkitehtuuria uudelleen

  • OpenSSH 10.0 poistaa tuen DSA-algoritmille, jota pidetään vanhentuneena ja haavoittuvana.
  • Hybridi postkvanttialgoritmi on sisällytetty oletuksena avainten vaihtoon: mlkem768x25519-sha256.
  • Lisääntynyt käyttäjän todennusprosessin eristäminen ottamalla käyttöön "sshd-auth" -komponentti.
  • Käytettävyyden parannuksia, ensisijaiset salaukset, FIDO2-tuki ja yleiset korjaukset.
Pablinux

5 minuuttia

OpenSSH 10.0

La OpenSSH-versio 10.0 nyt saatavana joukolla tärkeitä parannuksia, jotka liittyvät turvallisuuteen, post-kvanttisalaukseen ja järjestelmän tehokkuuteen. Tämä lanseeraus on merkittävä askel kohti suojatun viestintäinfrastruktuurin vahvistamista nykyisiä ja tulevia uhkia vastaan. Lisäksi tämä edistys korostaa, kuinka tärkeää on pysyä mukana salaus- ja suojaustyökalut jatkuvasti kehittyvässä teknologisessa maailmassa.

OpenSSH, yksi maailman laajimmin käytetyistä SSH-toteutuksista, kehittyy edelleen sopeutuakseen uusiin kyberturvallisuuden haasteisiin. Tällä kertaa versio 10.0 ei ainoastaan ​​korjaa virheitä, vaan myös tuo mukanaan rakenteellisia ja kryptografisia muutoksia, jotka voivat vaikuttaa järjestelmänvalvojiin ja kehittäjiin.

OpenSSH 10.0 vahvistaa kryptografista suojausta

Yksi merkittävimmistä päätöksistä on ollut Poista kokonaan tuki DSA (Digital Signature Algorithm) -allekirjoitusalgoritmille, joka on ollut vanhentunut vuosia ja jonka katsotaan olevan alttiina nykyaikaisille hyökkäyksille. OpenSSH oli jo vanhentunut, mutta silti tuettu, mikä oli tarpeeton riski.

Mitä tulee avainten vaihtoon, oletuksena on valittu hybridi-post-kvanttialgoritmi: mlkem768x25519-sha256. Tämä yhdistelmä integroi ML-KEM-järjestelmän (NIST:n standardoima) elliptiseen X25519-käyrään, joka tarjoaa vastustuskyvyn kvanttitietokonehyökkäyksiä vastaan ​​tinkimättä nykyisten järjestelmien tehokkuudesta. Tämä muutos asettaa OpenSSH:n edelläkävijäksi kvanttijälkeistä aikakautta varten valmistettujen kryptografisten menetelmien käyttöönotossa.

OpenSSh 10.0 suunnittelee todennusarkkitehtuurin uudelleen

Yksi teknisimmista mutta olennaisimmista edistysaskeleista on Ajonaikaisesta todentamisesta vastaavan koodin erottaminen uudeksi binaariksi nimeltä "sshd-auth". Tämä muutos vähentää tehokkaasti hyökkäyksen pintaa ennen kuin todennus on valmis, koska uusi binaari toimii pääprosessista riippumatta.

Tämän muutoksen myötä Myös muistin käyttö on optimoitu, koska todennuskoodi ladataan, kun se on käytetty, mikä parantaa tehokkuutta turvallisuutta tinkimättä.

FIDO2-tuki ja kokoonpanoparannukset

Myös OpenSSH 10.0 laajentaa FIDO2-todennustunnisteiden tukea, joka esittelee uusia ominaisuuksia FIDO-todistusblobin tarkistamiseen. Vaikka tämä apuohjelma on vielä kokeiluvaiheessa, eikä sitä ole asennettu oletusarvoisesti, se on askel kohti vankempaa ja standardoitumpaa todennusta nykyaikaisissa ympäristöissä.

Toinen merkittävä lisäys on enemmän joustavuutta käyttäjäkohtaisissa konfigurointivaihtoehdoissa. Tarkempia vastaavuusehtoja voidaan nyt määrittää, mikä mahdollistaa tarkemmat säännöt siitä, milloin ja miten tiettyjä SSH- tai SFTP-kokoonpanoja käytetään. Tässä yhteydessä alustojen, kuten esim OpenSSH 9.0 asettaa tärkeän ennakkotapauksen näiden työkalujen määrittelyyn.

Salausalgoritmien optimointi

Mitä tulee tietojen salaukseen, AES-GCM:n käyttö on etusijalla AES-CTR:ään verrattuna, päätös, joka parantaa sekä turvallisuutta että suorituskykyä salatuissa yhteyksissä. Tästä huolimatta, ChaCha20/Poly1305 on edelleen ensisijainen salausalgoritmi, koska sen suorituskyky on erinomainen laitteissa, joissa ei ole laitteistokiihdytystä AES:lle.

Muut tekniset ja protokollamuutokset

Turvallisuuden lisäksi, Istunnonhallintaan on tehty muutoksia, sekä parannuksia aktiivisen istuntotyypin tunnistamiseen. Näiden muutosten tarkoituksena on tehdä järjestelmästä mukautuvampi erilaisiin liitäntä- ja käyttöolosuhteisiin.

Lisäksi on ollut muutokset koodin siirrettävyyteen ja ylläpitoon, paremmana organisaationa salausparametritiedostojen (moduli) modulaariseen käsittelyyn, mikä helpottaa tulevia päivityksiä ja tarkastuksia.

Virheenkorjauksia ja käytettävyyttä

Kuten kaikki suuret julkaisut, OpenSSH 10.0 sisältää erilaisia ​​virheenkorjauksia käyttäjien ilmoittamia tai sisäisissä tarkastuksissa havaittuja. Yksi korjatuista virheistä liittyy "DisableForwarding" -vaihtoehtoon, joka ei poistanut X11:n ja agentin edelleenlähetystä oikein, kuten virallisessa dokumentaatiossa mainitaan.

Myös järjestelmään on tehty parannuksia käyttöliittymä johdonmukaisempaan käyttökokemukseen, mukaan lukien istunnon tunnistus tai tiettyjä asetuksia käytettäessä. Nämä yksityiskohdat, vaikkakin tekniset, vaikuttavat suoraan ohjelmiston vakauteen ja luotettavuuteen tuotantoympäristöissä.

Toinen huomionarvoinen yksityiskohta on komentorivityökalun ulkonäkö, vaikka se on vielä kokeellisessa vaiheessa, tarkoituksena on varmistaa FIDO-todistuksen blobs. Tämä on saatavilla projektin sisäisissä tietovarastoissa, mutta sitä ei asenneta automaattisesti.

OpenSSH jatkaa kehitystään etäviestinnän suojauksen avainpilarina. Tämä uusin päivitys ei ainoastaan ​​vastaa nykyisiin tarpeisiin, vaan myös ennakoi tulevaisuuden haasteita, kuten kvanttilaskentaa. Poistamalla vanhentuneet tekniikat ja omaksumalla uusia standardeja, projekti vahvistaa edelleen keskeistä rooliaan suojella. kriittiset digitaaliset infrastruktuurit.

IPFire 2.29 -ydin 190
Aiheeseen liittyvä artikkeli:
IPFire 2.29 Core 190: uusi versio, joka vahvistaa salausta ja on edellä Wi-Fi 7

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.