OpenSSH 9.9 Содержит усовершенствованные квантово-устойчивые алгоритмы

Проект OpenSSH объявил о выпуске OpenSSH 9.9, который теперь доступен для скачивания на его официальных зеркалах.

В этой новой версии представлены важные функции, включая поддержку гибридного постквантового обмена ключами с использованием формально проверенной реализации ML-KEM, улучшенные средства управления нежелательными подключениями, более быстрый код обмена ключами NTRUPrime и многое другое.

OpenSSH 9.9: новые возможности

Одним из наиболее заметных дополнений в OpenSSH 9.9 является поддержка нового гибридного метода постквантового обмена ключами.

Этот метод сочетает в себе механизм инкапсуляции ключей с модульной решеткой FIPS 203 (ML-KEM) с эллиптической кривой Диффи-Хеллмана X25519 (ECDH), повышая безопасность от потенциальных угроз квантовых вычислений.

Алгоритм, названный mlkem768x25519-sha256, включен по умолчанию, что знаменует значительный шаг к постквантовым криптографическим стандартам.

Кроме того, директива “Include” в ssh_config теперь поддерживает расширение переменных среды и тот же набор %-токенов, что и опция “Match Exec”, что позволяет создавать более гибкие и динамичные файлы конфигурации.

OpenSSH 9.9 также вводит новую опцию “RefuseConnection” в sshd_config. При установке он прерывает соединения при первом запросе аутентификации, предоставляя администраторам инструмент для быстрого удаления нежелательных подключений.

В дополнение к этому, новый класс штрафов “refuseconnection” в sshd_config, “PerSourcePenalties” применяет штрафы при разрыве соединения с использованием ключевого слова “RefuseConnection”.

Более того, параметры “Match” в sshd_config теперь включают предикат “Match invalid-user”. Эта функция соответствует, когда целевое имя пользователя недействительно на сервере, что позволяет более детально контролировать попытки аутентификации.

В выпуске также обновлен оптимизированный код NTRUPrime для существенно более быстрой реализации и повышения общей производительности.

Исправлены ошибки

Что касается исправлений, в OpenSSH 9.9 также устранен ряд ошибок:

• Анализ имен типов ключей: Обеспечивает более строгий анализ имен типов ключей, позволяя использовать только короткие имена в коде пользовательского интерфейса и требуя полных имен протоколов SSH в других местах.
• Смягченное требование к абсолютному пути: восстанавливает предыдущее поведение, при котором sshd не требуется абсолютный путь при запуске в режиме inetd.
• Исправления ведения журнала: исправлена ошибка, из-за которой адреса источника и назначения менялись местами в некоторых sshd сообщениях журнала.
• Обработка авторизованных ключей: исправлена проблема, из-за которой параметры authorized_keys были неправильно применены при сбое проверки подписи.
• Синтаксический анализ User@Host: OpenSSH 9.9 обеспечивает согласованный синтаксический анализ путем поиска последнего “@” в строке, позволяя использовать имена пользователей, содержащие символы “@”.

Уведомление об устаревании

Имейте в виду, что OpenSSH планирует удалить поддержку алгоритма подписи DSA в начале 2025 года. Версия 9.9 по умолчанию отключает DSA во время компиляции. DSA, как указано в протоколе SSHv2, по своей сути слабый — он ограничен 160-битным закрытым ключом и использованием дайджеста SHA1, предлагая оценочный уровень безопасности всего в 80 бит симметричного эквивалента.

OpenSSH с 2015 года не рекомендует использовать ключи DSA, сохраняя только дополнительную поддержку во время выполнения. Причина в том, что с улучшенными алгоритмами, широко поддерживаемыми во всех активно поддерживаемых реализациях SSH, затраты на поддержание DSA больше не оправданы.

Ознакомьтесь с примечаниями к выпуску для получения подробной информации обо всех изменениях в OpenSSH 9.9.

(2 оценок, среднее: 5,00 из 5)

Загрузка...