La OpenSSH 版本 10.0 现在可用 在安全性、后量子密码学和系统效率方面取得了许多重要改进。此次发射标志着我们朝着加强安全通信基础设施以抵御当前和未来威胁迈出了重要一步。此外,这一进步凸显了跟上 加密和安全工具 在不断发展的技术世界中。
OpenSSH, 全球使用最广泛的 SSH 实现之一,不断发展以适应网络安全的新挑战。此次,10.0 版本不仅修复了错误,还引入了可能影响系统管理员和开发人员的结构和加密变化。
OpenSSH 10.0 增强了加密安全性
其中最引人注目的决定之一是 完全删除对DSA(数字签名算法)签名算法的支持,该技术已过时多年,并且被认为容易受到现代攻击。 OpenSSH 已被弃用,但仍然受支持,这代表着不必要的风险。
关于密钥交换, 默认选择混合后量子算法:mlkem768x25519-sha256。该组合将 ML-KEM 方案(由 NIST 标准化)与 X25519 椭圆曲线相结合,可抵抗量子计算机攻击,同时又不牺牲当前系统的效率。这一变化使 OpenSSH 成为采用为后量子时代准备的加密方法的先驱。
OpenSSh 10.0 重新设计了身份验证架构
其中最具技术性但又最相关的进步是 将负责运行时身份验证的代码分离到名为“sshd-auth”的新二进制文件中。由于新的二进制文件独立于主进程运行,因此此修改有效地减少了身份验证完成之前的攻击面。
随着这一变化, 内存使用也进行了优化因为认证码一旦使用就会被下载,从而提高效率且不影响安全性。
FIDO2 支持和配置改进
OpenSSH 10.0 也是如此 扩展对 FIDO2 身份验证令牌的支持,引入了用于验证 FIDO 证明 blob 的新功能。尽管该实用程序仍处于实验阶段并且默认情况下未安装,但它代表着朝着现代环境中更强大和标准化的身份验证迈出了一步。
另一个值得注意的补充是 用户特定配置选项的灵活性更高。现在可以定义更精确的匹配标准,从而允许制定有关何时以及如何应用某些 SSH 或 SFTP 配置的更细致的规则。在此背景下,诸如 OpenSSH 9.0 在这些工具的配置中树立了重要的先例。
加密算法优化
关于数据加密, AES-GCM 的使用优先于 AES-CTR,这一决定提高了加密连接的安全性和性能。尽管如此, ChaCha20/Poly1305 仍然是首选加密算法,因为它在没有 AES 硬件加速的设备上表现出色。
其他技术和协议变化
除了安全之外, 会话管理方面有所变化,以及对活动会话类型检测的改进。这些修改旨在使系统更适应不同的连接和使用条件。
此外,还曾有过 代码可移植性和维护的调整,作为加密参数文件(moduli)模块化处理的更好的组织,以方便未来的更新和审计。
错误修复和可用性
与任何主要版本一样,OpenSSH 10.0 修复了各种错误 由用户报告或在内部审计中发现。修复的错误之一与“DisableForwarding”选项有关,该选项没有正确禁用 X11 和代理转发,如官方文档中所示。
还对 用户界面带来更一致的体验,包括会话检测或应用特定设置时。这些细节虽然技术性很强,但对软件在生产环境中的稳定性和可靠性有直接的影响。
另一个值得注意的细节是 命令行工具的外观,尽管仍处于实验阶段,旨在验证 FIDO 证明 blob。这在项目的内部存储库中可用,但不会自动安装。
OpenSSH 作为远程通信安全的重要支柱不断发展。此次最新更新不仅满足了当前的需求,还预测了量子计算的出现等未来的挑战。通过淘汰过时的技术并采用新兴标准,该项目继续巩固其在保护 关键数字基础设施.
