OpenSSH 10.0 已正式发布,这是一个完整的 SSH 协议 2.0 实现,包括 sftp 客户端和服务器支持。
OpenSSH 10.0 包含多项改进,包括更好地防御未来量子计算机可能发起的攻击。OpenSSH 10.0 放弃了对过去十年来已弃用的弱 DSA 签名算法的支持。
SSH 守护进程 (SSHD) 还将负责协议用户身份验证阶段的代码移除,并替换为新的“sshd-auth”二进制文件,以便更好地隔离身份验证前的攻击面。
OpenSSH 10.0 在安全方面还修复了 X11 转发的“DisableForwarding”问题,因为事实证明,它未能按照文档所述禁用 X11 转发和代理转发。
为了在量子计算领域提供更好的保护,OpenSSH 10.0 现在默认使用混合后量子算法 mlkem768x25519-sha256 进行密钥协商。 mlkem768x25519-sha256 算法目前被认为能够抵御量子计算机的潜在攻击,并且比之前的默认算法速度更快。
OpenSSH 10.0 还添加了一个正在开发中的工具,用于验证 FIDO 认证 blob。OpenSSH 10.0 中的这个实验性工具可以在regress/misc/ssh-verify-attestation下找到,主要用于实验,默认情况下并未安装。
详情查看 release notes。有关 OpenSSH 10.0 的更多详细信息可通过邮件列表公告和通过 OpenSSH.com 下载找到。
还没有评论,来说两句吧...