OpenSSH 10.1 – Új DSCP-kezelés, a SHA1-alapú SSHFP rekordok kivezetése és poszt-kvantum figyelmeztetések

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

Megjelent az OpenSSH 10.1, a nyílt forráskódú biztonságos távoli bejelentkezési és fájlátviteli eszközkészlet legújabb verziója, amelyet az OpenBSD projekt gondoz. A kiadás nemcsak biztonsági javításokat, hanem jelentős protokollmódosításokat is tartalmaz – köztük a SHA1-alapú DNS-rekordok kivezetését, a DSCP (IPQoS) hálózati prioritások új kezelését, valamint új figyelmeztetéseket a nem poszt-kvantum titkosításokhoz.

A SHA1-alapú SSHFP DNS rekordok kivezetése

Az egyik legfontosabb változás az, hogy az OpenSSH 10.1 bejelentette a SHA1-alapú SSHFP DNS rekordok elavulását (deprecation). A gyengülő SHA1 algoritmus (Secure Hash Algorithm 1) miatt ezek a rekordok a jövőben már figyelmen kívül lesznek hagyva.

Mostantól az ssh-keygen -r parancs kizárólag SHA256-alapú SSHFP rekordokat generál, amelyeket az OpenSSH fejlesztői biztonságosabbnak és korszerűbbnek tartanak. Ez a lépés egyértelműen illeszkedik a kriptográfiai közösség azon törekvéséhez, hogy a régi, gyenge hash-függvényeket fokozatosan teljesen kivonják a forgalomból.

Figyelmeztetés a nem poszt-kvantum kulcscserékre

Az új verzió egy további, fontos biztonsági funkcióval is bővült: a WarnWeakCrypto opcióval.
Ez a beállítás, amely alapértelmezetten engedélyezett, figyelmeztet, ha a kapcsolat olyan kulcscsere-mechanizmust használ, amely nem poszt-kvantum biztonságú (non-post-quantum key exchange).

A figyelmeztetés célja, hogy felhívja a figyelmet a „store now, decrypt later” támadási modell veszélyére. Ebben az esetben egy támadó titkosított adatokat gyűjthet be most, majd a jövőben – amikor a kvantumszámítógépek képesek lesznek a jelenlegi titkosítási rendszerek feltörésére – ezeket visszafejtheti. Az OpenSSH ezzel is elősegíti a felhasználók felkészülését a poszt-kvantum korszakra.

Biztonsági javítás a felhasználónevek kezelésében

A kiadás tartalmaz egy kisebb, de fontos biztonsági javítást is.
A fejlesztők megakadályozták, hogy vezérlőkarakterek (control characters) kerüljenek a felhasználónevekbe, amikor azok nem megbízható SSH parancssorból vagy URI-ból származnak.

Ez a javítás egy potenciális shell injection problémát előz meg, különösen akkor, ha a ProxyCommand beállításban a felhasználónév kiterjesztés szerepelt. Ezzel az OpenSSH tovább erősíti a parancsértelmezés és a távoli kapcsolatok biztonságát.

DSCP (IPQoS) változások – gyorsabb interaktív forgalom

Az OpenSSH 10.1 egyik technikai újítása a DSCP (Differentiated Services Code Point), más néven IPQoS kezelésének átdolgozása. A fejlesztők célja, hogy az interaktív SSH-forgalom (például terminálkapcsolatok) alacsonyabb késleltetésű, azaz Expedited Forwarding osztályba kerüljön, ezzel javítva a valós idejű kommunikáció élményét. Ezzel szemben a nem interaktív forgalom, mint például az SFTP-fájlátvitel, a rendszer alapértelmezett DSCP-értékét használja. Ezzel párhuzamosan a régi, IPv4-es ToS (Type of Service) kulcsszavak – mint a lowdelay, reliability és throughputvégleg elavulttá váltak, és a rendszer mostantól modern DSCP megjelöléseket alkalmaz.

Változások az ssh-agent működésében

A ssh-agent mostantól biztonságosabb helyre menti az ideiglenes socketeket: az eddigi /tmp könyvtár helyett a ~/.ssh/agent mappába kerülnek. Ez a változtatás különösen a korlátozott jogosultságú rendszereken növeli a biztonságot.

Ezen felül az ssh-agent most már automatikusan eltávolítja a régi socketeket, és hamarosan képes lesz lejárt tanúsítványokat is törölni közvetlenül a lejárat után. Ezzel a fejlesztés a hosszú távú üzemeltetést és a megbízhatóságot erősíti.

 További fejlesztések és bővítések

Az OpenSSH 10.1 több kisebb, de hasznos fejlesztést is hozott:

  • PKCS#11 tokeneken már támogatott az ed25519 kulcsformátum, amely modern, gyors és biztonságos elliptikus görbéket használ.
  • Új RefuseConnection opció került az ssh_config fájlba, amellyel bizonyos kapcsolatokat kifejezetten meg lehet tagadni.
  • A konfigurációs fájlok maximális mérete 256 KB-ról 4 MB-ra nőtt, ami a nagyobb környezetek kezelését is lehetővé teszi.
  • Kijavították a X11 kliens késleltetéseit, fejlesztették a kulcsbetöltési hibák diagnosztikáját, és több memóriaszivárgást (memory leak) is megszüntettek.

A portolható (portable) verzióban kisebb kompatibilitási javítások érkeztek Linux, macOS és BSD rendszerekhez. Ezen kívül az új verzió tartalmaz egy GNOME 40+ askpass segédprogramot, valamint jobb PAM-kezelést, szigorúbb seccomp sandboxolást, és futex syscall támogatást a 32 bites rendszereken.

Az OpenSSH 10.1 kiadása egyértelműen a biztonság és a modern hálózati működés finomhangolására koncentrál.
A SHA1 algoritmus kivezetése, a DSCP prioritások újragondolása és a poszt-kvantum korszakra való előkészületek azt mutatják, hogy az OpenSSH fejlesztői továbbra is a kriptográfia élvonalában tartják ezt a több évtizedes projektet.

Letöltések és további részletek az OpenSSH 10.1-ról az OpenSSH.com oldalon.