OpenSSH 10.0 已经发布,标志着这一广泛使用的 SSH 客户端/服务器实现迎来了重大更新。本次发布的一个关键变化是移除了对 DSA 签名算法的支持,完成了自 2015 年首次默认禁用 DSA 以来的弃用过程。 此次更新对 SSH 守护进程(sshd)进行了结构性调整,将用户认证阶段的代码从每个连接的 sshd-session 二进制文件移至新的 sshd-auth 二进制文件中。这种分离确保了预认证攻击面在独立的地址空间中运行,同时通过认证后卸载认证代码,实现了轻微的运行内存优化。 此外,本次发布修复了 DisableForwarding 指令中的一个错误,该错误此前未能禁用 X11 和代理转发。默认情况下,服务器上禁用了 X11 转发,客户端上关闭了代理转发。 在安全性方面,OpenSSH 10.0 采用了混合后量子算法 mlkem768x25519-sha256 作为密钥协商的默认算法。该算法旨在抵御量子计算机攻击,与 curve25519-sha256 算法的强度相当,并提供了更好的性能。 本次发布还引入了一个初步工具,用于验证 FIDO 认证数据块,这些数据块可以在 FIDO 密钥注册期间由 ssh-keygen 可选生成。OpenSSH 10.0 还包括了其他各种增强功能和错误修复,进一步优化了软件。
