La OpenSSH bersyon 10.0 magagamit na ngayon na may ilang mahahalagang pagpapahusay na nauugnay sa seguridad, post-quantum cryptography at kahusayan ng system. Ang paglulunsad na ito ay kumakatawan sa isang makabuluhang hakbang patungo sa pagpapalakas ng ligtas na imprastraktura ng komunikasyon laban sa kasalukuyan at hinaharap na mga banta. Higit pa rito, itinatampok ng pagsulong na ito ang kahalagahan ng pagsubaybay sa encryption at mga tool sa seguridad sa isang patuloy na umuunlad na teknolohikal na mundo.
OpenSSH, isa sa pinakamalawak na ginagamit na pagpapatupad ng SSH sa buong mundo, ay patuloy na nagbabago upang umangkop sa mga bagong hamon sa cybersecurity. Sa pagkakataong ito, ang bersyon 10.0 ay hindi lamang nag-aayos ng mga bug, ngunit nagpapakilala rin ng mga pagbabago sa istruktura at cryptographic na maaaring makaapekto sa parehong mga administrator at developer ng system.
Pinalalakas ng OpenSSH 10.0 ang seguridad ng cryptographic
Isa sa mga pinakakilalang desisyon ay Ganap na alisin ang suporta para sa DSA (Digital Signature Algorithm) signature algorithm, na hindi na ginagamit sa loob ng maraming taon at itinuturing na mahina sa mga modernong pag-atake. Ang OpenSSH ay hindi na ginagamit, ngunit sinusuportahan pa rin, na kumakatawan sa isang hindi kinakailangang panganib.
Tungkol sa palitan ng susing, isang hybrid na post-quantum algorithm ang napili bilang default: mlkem768x25519-sha256. Isinasama ng kumbinasyong ito ang ML-KEM scheme (standardize ng NIST) sa X25519 elliptic curve, na nag-aalok ng paglaban sa mga pag-atake ng quantum computer nang hindi sinasakripisyo ang kahusayan sa mga kasalukuyang system. Pinoposisyon ng pagbabagong ito ang OpenSSH bilang isang pioneer sa paggamit ng mga cryptographic na pamamaraan na inihanda para sa isang post-quantum era.
Ang OpenSSh 10.0 ay muling nagdidisenyo ng arkitektura ng pagpapatunay
Isa sa mga pinaka-teknikal ngunit may-katuturang pagsulong ay ang Paghihiwalay ng code na responsable para sa pagpapatunay ng runtime sa isang bagong binary na tinatawag na "sshd-auth". Ang pagbabagong ito ay epektibong binabawasan ang attack surface bago makumpleto ang pagpapatotoo, dahil ang bagong binary ay tumatakbo nang hiwalay sa pangunahing proseso.
Sa pagbabagong ito, na-optimize din ang paggamit ng memorya, dahil ang authentication code ay nai-download kapag nagamit na ito, na nagpapahusay ng kahusayan nang hindi nakompromiso ang seguridad.
suporta at pagpapahusay ng configuration ng FIDO2
OpenSSH 10.0 din nagpapalawak ng suporta para sa mga token ng pagpapatunay ng FIDO2, na nagpapakilala ng mga bagong kakayahan para sa pag-verify ng FIDO attestation blobs. Bagama't ang utility na ito ay nasa experimental phase pa rin at hindi naka-install bilang default, ito ay kumakatawan sa isang hakbang patungo sa mas matatag at standardized na pagpapatotoo sa mga modernong kapaligiran.
Ang isa pang kapansin-pansing karagdagan ay ang higit na kakayahang umangkop sa mga opsyon sa pagsasaayos na partikular sa user. Maaari na ngayong tukuyin ang mas tumpak na pamantayan sa pagtutugma, na nagbibigay-daan para sa higit pang mga granular na panuntunan kung kailan at kung paano inilalapat ang ilang partikular na configuration ng SSH o SFTP. Sa kontekstong ito, ang ebolusyon ng mga platform tulad ng OpenSSH 9.0 nagtatakda ng isang mahalagang pamarisan sa pagsasaayos ng mga tool na ito.
Pag-optimize ng mga algorithm ng pag-encrypt
Tungkol sa pag-encrypt ng data, Ang paggamit ng AES-GCM ay priyoridad kaysa sa AES-CTR, isang desisyon na nagpapahusay sa seguridad at pagganap sa mga naka-encrypt na koneksyon. Sa kabila nito, Ang ChaCha20/Poly1305 ay nananatiling ang ginustong algorithm ng pag-encrypt, dahil sa mahusay na pagganap nito sa mga device na walang hardware acceleration para sa AES.
Iba pang teknikal at mga pagbabago sa protocol
Higit pa sa seguridad, Ang mga pagbabago ay ipinakilala sa pamamahala ng session, pati na rin ang mga pagpapabuti sa pagtuklas ng aktibong uri ng session. Nilalayon ng mga pagbabagong ito na gawing mas madaling ibagay ang system sa iba't ibang kundisyon ng koneksyon at paggamit.
Bilang karagdagan, mayroong mga pagsasaayos sa code na maaaring dalhin at pagpapanatili, bilang isang mas mahusay na organisasyon para sa modular na pangangasiwa ng mga file ng parameter ng cryptographic (moduli), na nagpapadali sa mga pag-update at pag-audit sa hinaharap.
Mga pag-aayos ng bug at kakayahang magamit
Tulad ng anumang pangunahing paglabas, ang OpenSSH 10.0 isinasama ang iba't ibang mga pag-aayos ng bug iniulat ng mga user o nakita sa mga panloob na pag-audit. Ang isa sa mga naayos na bug ay nauugnay sa opsyong "DisableForwarding", na hindi wastong hindi pinagana ang X11 at pagpapasa ng ahente, gaya ng ipinahiwatig sa opisyal na dokumentasyon.
Ang mga pagpapabuti ay ginawa din sa user interface para sa mas pare-parehong karanasan, kabilang ang pagtukoy ng session o kapag naglalapat ng mga partikular na setting. Ang mga detalyeng ito, bagama't teknikal, ay may direktang epekto sa katatagan at pagiging maaasahan ng software sa mga kapaligiran ng produksyon.
Ang isa pang kapansin-pansing detalye ay ang hitsura ng isang command line tool, bagama't nasa yugtong pang-eksperimento pa, nilayon na i-verify ang mga blobs ng pagpapatunay ng FIDO. Ito ay magagamit sa mga panloob na repositoryo ng proyekto, ngunit hindi awtomatikong naka-install.
Ipinagpapatuloy ng OpenSSH ang ebolusyon nito bilang isang pangunahing haligi sa seguridad ng malayuang komunikasyon. Ang pinakabagong update na ito ay hindi lamang tumutugon sa mga kasalukuyang pangangailangan ngunit inaasahan din ang mga hamon sa hinaharap tulad ng paglitaw ng quantum computing. Sa pamamagitan ng paghinto sa mga hindi na ginagamit na teknolohiya at pagtanggap sa mga umuusbong na pamantayan, patuloy na pinatitibay ng proyekto ang pangunahing papel nito sa pagprotekta kritikal na mga digital na imprastraktura.
