07.10.2025
1 хв
519
У релізі OpenSSH 10.1 з’явилась нова функція — клієнт і сервер тепер можуть виводити попередження, якщо обране з’єднання використовує алгоритм обміну ключами, що не витримує постквантової криптоатаки.
Основна зміна в OpenSSH 10.1 — це механізм WarnWeakCrypto: якщо ssh-з’єднання використовує “слабі” алгоритми обміну ключами, будуть попередження для користувача або адміністратора. Також оновлено поведінку мережевої пріоритизації: тепер трафік з інтересом для інтерактивних сеансів отримує клас EF (Expedited Forwarding).
Крім того, зміни торкнулися ssh-agent — сокети переміщено з
/tmpдо~/.ssh/agent, що підвищує ізоляцію ключів. Додано нові прапорці для очищення застарілих сокетів та опціюssh-add -N, яка забороняє автоматичне видалення сертифікатів після їхнього терміну. Крім цього, вразливість, пов’язана з обробкою керуючих символів та нуль-байтів у іменах користувачів та URI уssh(1), тепер виправлена — це закриє шлях до ін’єкцій оболонки через%u.
OpenSSH — це стандартна реалізація протоколу SSH 2.0 із підтримкою SFTP. Проєкт підтримується відкритим співтовариством і часто оновлюється для захисту мережевого доступу.
У сучасному світі, де квантові комп’ютери вже не просто концепція, а реальна загроза, алгоритми обміну ключами, які використовують звичайні (непостквантові) методи, стають вразливими до атак нового покоління. Команда OpenSSH дала сигнал: підготовка до постквантової ери має початися зараз.
Обновлення OpenSSH до версії 10.1 — важливий крок у напрямку криптографічної стійкості. Попередження про слабкі алгоритми, зміни у ssh-agent, а також виправлення у безпеці ssh-клієнта зможуть захистити від атак, що стануть поширеними з розвитком квантових обчислень. Користувачам і адміністраторам варто негайно оновити системи та перевірити конфігурації з урахуванням нових функцій.
