ИТ Блог. Администрирование серверов на основе Linux (Ubuntu, Debian, CentOS, openSUSE)

OpenSSH 9.9 Содержит усовершенствованные квантово-устойчивые алгоритмы

OpenSSH 9.9 Содержит усовершенствованные квантово-устойчивые алгоритмы
OpenSSH 9.9 уже вышла! Поддержка постквантового обмена ключами, улучшенные функции безопасности и исправления ошибок.

Проект OpenSSH объявил о выпуске OpenSSH 9.9, который теперь доступен для скачивания на его официальных зеркалах.

В этой новой версии представлены важные функции, включая поддержку гибридного постквантового обмена ключами с использованием формально проверенной реализации ML-KEM, улучшенные средства управления нежелательными подключениями, более быстрый код обмена ключами NTRUPrime и многое другое.

 

OpenSSH 9.9: новые возможности

Одним из наиболее заметных дополнений в OpenSSH 9.9 является поддержка нового гибридного метода постквантового обмена ключами.

Этот метод сочетает в себе механизм инкапсуляции ключей с модульной решеткой FIPS 203 (ML-KEM) с эллиптической кривой Диффи-Хеллмана X25519 (ECDH), повышая безопасность от потенциальных угроз квантовых вычислений.

Алгоритм, названный mlkem768x25519-sha256, включен по умолчанию, что знаменует значительный шаг к постквантовым криптографическим стандартам.

Кроме того, директива “Include” в ssh_config теперь поддерживает расширение переменных среды и тот же набор %-токенов, что и опция “Match Exec”, что позволяет создавать более гибкие и динамичные файлы конфигурации.

OpenSSH 9.9 также вводит новую опцию “RefuseConnection” в sshd_config. При установке он прерывает соединения при первом запросе аутентификации, предоставляя администраторам инструмент для быстрого удаления нежелательных подключений.

В дополнение к этому, новый класс штрафов “refuseconnection” в sshd_config, “PerSourcePenalties” применяет штрафы при разрыве соединения с использованием ключевого слова “RefuseConnection”.

Более того, параметры “Match” в sshd_config теперь включают предикат “Match invalid-user”. Эта функция соответствует, когда целевое имя пользователя недействительно на сервере, что позволяет более детально контролировать попытки аутентификации.

В выпуске также обновлен оптимизированный код NTRUPrime для существенно более быстрой реализации и повышения общей производительности.

 

Исправлены ошибки

Что касается исправлений, в OpenSSH 9.9 также устранен ряд ошибок:

 

Уведомление об устаревании

Имейте в виду, что OpenSSH планирует удалить поддержку алгоритма подписи DSA в начале 2025 года. Версия 9.9 по умолчанию отключает DSA во время компиляции. DSA, как указано в протоколе SSHv2, по своей сути слабый — он ограничен 160-битным закрытым ключом и использованием дайджеста SHA1, предлагая оценочный уровень безопасности всего в 80 бит симметричного эквивалента.

OpenSSH с 2015 года не рекомендует использовать ключи DSA, сохраняя только дополнительную поддержку во время выполнения. Причина в том, что с улучшенными алгоритмами, широко поддерживаемыми во всех активно поддерживаемых реализациях SSH, затраты на поддержание DSA больше не оправданы.

Ознакомьтесь с примечаниями к выпуску для получения подробной информации обо всех изменениях в OpenSSH 9.9.

Exit mobile version