La nuova versione del protocollo di sicurezza crittografica OpenSSH 9.9 è stata da poco ufficialmente rilasciata con significative novità che riguardano gli algoritmi quantistici e la sicurezza, nello specifico il supporto per lo scambio di chiavi ibrido “post-quantum” tramite implementazione ML-KEM, controlli migliorati per gestire al meglio connessioni indesiderate, codice per uno scambio più veloce delle chiavi e molto altro.
OpenSSH 9.9: le novità dell’ultima versione del protocollo
OpenSSH 9.9 è già disponibile al download dalle fonti ufficiali. Tra i cambiamenti più importanti c’è il nuovo metodo per lo scambio ibrido di chiavi post-quantum, ovvero chiavi che fanno uso di algoritmi crittografici quantistici per una crittografia più efficace delle comunicazioni. Combinando due particolari tecniche, nello specifico il meccanismo di incapsulamento a chiave a reticolo modulare (ML-KEM) FIPS 203 con l’algoritmo Diffie-Hellman a curva ellittica X25519 (ECDH), viene migliorata la sicurezza contro potenziali attacchi quantistici.
Oltre a ciò, al fine di aumentare sempre più l’asticella per quanto riguarda il livello di sicurezza, la nuova versione abilita per impostazione predefinita l’algoritmo mlkem768x25519-sha256. La direttiva ssh_config” Include ” supporta adesso l’espansione delle variabili d’ambiente, nonché lo stesso set di “%-token” dell’opzione ” Match Exec “, in modo da avere file di configurazione più flessibili e dinamici.
Con OpenSSH 9.9 viene anche introdotta una nuova opzione denominata “RefuseConnection” in sshd_config. Quando impostata, permette di terminare le connessioni alla prima richiesta di autenticazione, permettendo di terminare delle possibili connessioni indesiderate o non autorizzate. Completano le modifiche una nuova classe di penalità “refuseconnection” in sshd_config “PerSourcePenalties ”, la quale applica delle penalità quando una connessione viene interrotta tramite il comando “refuseconnection”.
Infine, le opzioni sshd_config “Match” includono adesso un predicato “Match invalid-user”, che esegue una corrispondenza quando il nome utente di destinazione risulta non valido sul server, al fine di consentire un controllo più granulare e preciso sui tentativi di autenticazione. Viene aggiornato anche il codice semplificato NTRUPrime, al fine di velocizzarne l’implementazione e migliorare le prestazioni complessive.
Su OpenSSH 9.9 non mancano poi varie correzioni di bug e alcune deprecazioni che riguardano il supporto per l’algoritmo di firma DSA, scoraggiandone al tempo stesso l’uso delle chiavi relative. È possibile consultare il changelog completo nella pagina ufficiale.