OpenSSH 10 se despide de DSA y da la bienvenida al cifrado postcuántico

Desarrollada bajo el paraguas del proyecto OpenBSD, OpenSSH 10 es la nueva y redonda versión de esta implementación cien por cien libre y compatible con el protocolo SSH 2.0, incluyendo soporte para cliente y servidor SFTP. Es una herramienta ampliamente utilizada para realizar comunicaciones cifradas y entre sus novedades hay un poco de todo.

Así, OpenSSH 10 llega con cambios que afectan tanto a la seguridad como a la funcionalidad del sistema y uno de los más destacados es la retirada definitiva del soporte para el algoritmo de firma DSA, completando así un proceso iniciado hace años. También se deshabilita por defecto el intercambio de claves mediante Diffie-Hellma, una técnica considerada hoy en día innecesariamente costosa frente a alternativas como ECDH, que lleva más de una década siendo la opción predeterminada.

La estructura interna del servidor SSH también se ha modificado: la fase de autenticación de usuario se separa en un nuevo binario independiente, sshd-auth, lo que permite reducir la superficie de ataque antes de la autenticación y liberar memoria una vez superado este paso. A nivel de cliente y herramientas, tanto scp como sftp desactivan ahora la creación implícita de sesiones cuando la opción ControlMaster está habilitada, evitando comportamientos inesperados.

En cuanto a nuevas funcionalidades, OpenSSH adopta por defecto un algoritmo híbrido postcuántico para el acuerdo de claves: mlkem768x25519-sha256, el cual se supone ofrece una resistencia frente a ataques con ordenadores cuánticos sin comprometer el rendimiento ni la seguridad disponibles actualmente. Además, se modifica la preferencia de modos cifrados, priorizando AES-GCM frente a AES-CTR.

Otra incorporación destacada de este lanzamiento es la capacidad de realizar coincidencias en la configuración (ssh_config, sshd_config) basadas en la versión de OpenSSH, el tipo de sesión solicitada, o incluso el comando remoto. También se amplía el soporte para tokens FIDO, mejoras en ssh-agent, y se habilita la activación de sockets al estilo systemd en sistemas compatibles.

Por último, en el apartado de compatibilidad, se añade soporte para AWS-LC y mejoras de portabilidad relacionadas con bibliotecas y entornos antiguos. Y, por supuesto, se han corregido múltiples errores, incluyendo vulnerabilidades menores, fallos de configuración y problemas en herramientas como ssh, sshd, sftp y ssh-keygen.

En definitiva, OpenSSH 10 no solo pule detalles técnicos, sino que introduce cambios estructurales y de seguridad que marcan un notable avance en la evolución del proyecto, muy en sintonía con la numeración que estrena, tras más del doble de años en desarrollo continuo.

Todas las novedades de OpenSSH 10, en las notas de lanzamiento.

La entrada OpenSSH 10 se despide de DSA y da la bienvenida al cifrado postcuántico es original de MuyLinux