La versión 10 de OpenSSH marca un hito significativo en la evolución de la seguridad en conexiones remotas. Esta actualización introduce cambios técnicos relevantes que fortalecen la seguridad y preparan el terreno para enfrentar desafíos futuros en el ámbito de la criptografía.
Eliminación progresiva de DSA
Desde 2015, OpenSSH había deshabilitado por defecto el soporte para claves DSA (Digital Signature Algorithm) debido a sus limitaciones de seguridad, como el uso de claves de 160 bits y la dependencia de SHA-1, lo que le otorgaba una equivalencia de seguridad simétrica de aproximadamente 80 bits. Sin embargo, se mantenía la posibilidad de habilitar DSA en tiempo de ejecución para garantizar compatibilidad con sistemas heredados.
Con la llegada de OpenSSH 10, se ha completado la eliminación de DSA del código fuente. Este proceso se llevó a cabo en etapas:
- Marzo de 2024: DSA se volvió opcional en tiempo de compilación, pero aún habilitado por defecto.
- Junio de 2024: DSA se deshabilitó por defecto en tiempo de compilación, aunque podía habilitarse manualmente.
- Enero de 2025: Eliminación completa del soporte para DSA en OpenSSH.
Esta decisión busca reducir la superficie de ataque y fomentar la adopción de algoritmos más seguros y modernos.
Incorporación de criptografía postcuántica
Anticipándose a las amenazas que podrían surgir con la computación cuántica, OpenSSH 10 introduce soporte para algoritmos de criptografía postcuántica. En particular, se ha implementado el uso de claves híbridas que combinan el algoritmo clásico X25519 con el algoritmo postcuántico NTRU. Esta combinación fortalece el intercambio de claves, proporcionando resistencia tanto a ataques clásicos como cuánticos.
La implementación de estas claves híbridas es opcional y está diseñada para mantener la compatibilidad con versiones anteriores y clientes que aún no soportan criptografía postcuántica. Esto permite una transición gradual hacia estos nuevos estándares sin comprometer la interoperabilidad.
Otras mejoras técnicas
Además de los cambios mencionados, OpenSSH 10 introduce mejoras adicionales:
Actualizaciones en la gestión de claves: Se han optimizado los procesos de generación y manejo de claves, facilitando la administración y mejorando la seguridad general del sistema.
Bloqueo de direcciones IP: El servidor sshd ahora puede bloquear direcciones IP que fallen repetidamente en la autenticación o que intenten conexiones sin completarlas, mejorando la protección contra ataques automatizados.
Este artículo fue redactado por el equipo de ADMIN TI. Para obtener las últimas noticias, y análisis, visita nuestro blog.