Vývojáři uvolnili OpenSSH s kulatým označením 10.0. Pozor na to, že tato verze se hlásí jako SSH-2.0-OpenSSH_10.0, což může zmást některé nástroje, které naivně hledají číslo verze pomocí výrazu OpenSSH_1*.
Tato verze odstraňuje podporu slabého podpisu DSA a dokončuje tak proces vyřazování, který byl zahájen už v roce, kdy byl DSA ve výchozím nastavení zakázán. Dále vypíná pro sftp a scp zakládání nového řídicího socketu ( ControlMaster no), ale nemění to přístup k už dříve vytvořenému socketu.
Desítka také odděluje kód zodpovědný za fázi ověřování uživatelů z sshd-session do nové binárky sshd-auth. Rozdělení tohoto kódu do samostatné binárky rozděluje paměťové prostory jednotlivých procesů a zmenšuje prostor pro útok na autentizační mechanismy. Přináší to také malou úsporu paměti za běhu, protože ověřovací kód bude po ověření zase uvolněn z paměti. Uživatelsky je to nevýznamná změna, jen do logů teď bude zapisovat další proces.
Zajímavou novinkou je, že pro vyjednávání klíčů je nyní ve výchozím stavu používán hybridní postkvantový algoritmus mlkem768x25519-sha256. Ten je považován za bezpečný proti útokům kvantových počítačů a není slabší než původní curve25519-sha256. Navíc je prý výrazně rychlejší než jeho předchůdce.
(Upozornil Petr Hercík.)
ČLÁNKY DO MAILU