OpenSSH 10.0发布 旨在更好地抵御量子计算机的攻击

OpenSSH10.0现已支持这一广泛使用的SSH客户端/服务器实现。OpenSSH10.0包含多项改进，包括更好地防御未来量子计算机可能发起的攻击。OpenSSH10.0放弃了对过去十年来已弃用的弱DSA签名算法的支持。

SSH守护进程(SSHD)还将负责协议用户身份验证阶段的代码移除，并替换为新的“sshd-auth”二进制文件，以便更好地隔离身份验证前的攻击面。

OpenSSH10.0在安全方面还修复了X11转发的“DisableForwarding”问题，因为事实证明，它未能按照文档所述禁用X11转发和代理转发。

为了在量子计算领域提供更好的保护，OpenSSH10.0现在默认使用混合后量子算法mlkem768x25519-sha256进行密钥协商。mlkem768x25519-sha256算法目前被认为能够抵御量子计算机的潜在攻击，并且比之前的默认算法速度更快。

OpenSSH10.0还添加了一个正在开发中的工具，用于验证FIDO认证blob。OpenSSH10.0中的这个实验性工具可以在regress/misc/ssh-verify-attestation下找到，主要用于实验，默认情况下并未安装。

有关今天发布的OpenSSH10.0的许多变化的更多详细信息可通过邮件列表公告和通过OpenSSH.com下载找到。