OpenSSH 10.1 varuje uživatele před servery bez podpory postkvantových algoritmů

Petr Krčmář
Dnes
OpenSSH Autor: Root.cz s využitím DALL-E

Vývojáři vydali OpenSSH verze 10.1, svobodné implementace protokolu SSH v podobě klienta i serveru. Klientská část nově varuje, když server při připojení nenabízí algoritmus pro vyjednávání klíče, který je post-kvantově bezpečný. Toto varování bylo přidáno z důvodu rizika útoků typu „uložit nyní, dešifrovat později“. Útočníci by se později s příchodem dostatečně výkonných kvantových počítačů mohli dostat k citlivé části komunikace. Varování je možné vypnout pomocí volby  WarnWeakCrypto. Více informací naleznete na webu OpenSSH.

Kromě toho OpenSSH také lépe pracuje s IPQoS a označuje interaktivní spojení jako EF (Expedited Forwarding) podle RFC 8325. To by mělo při přenosech prioritizovat právě ta spojení, která mají být interaktivní a dostanou tedy vyšší přednost. OpenSSH automaticky přepíná mezi EF a výchozím označením podle toho, jaký typ služby je uvnitř spojení používán.

Došlo také k přesunu výchozího umístění socketů pro SSH agenta a démona sshd z adresáře /tmp pod ~/.ssh/agent. Tím je zajištěno, že procesy s omezeným přístupem k souborovému systému nemají možnost používat klíče v agentovi. Operační systémy by už také neměly mít tendenci tyto sockety automaticky mazat.

Byla také odstraněna podpora pro experimentální klíče XMSS, které stejně nikdy nebyly ve výchozím stavu zapnuté. Vývojáři chtějí v blízké budoucnosti implementovat nový postkvantový podpisový systém.

(Upozornil Petr Hercík.)

Petr Krčmář

Petr Krčmář

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.

Témata:

