El temor postcuántico se hizo realidad: OpenSSH 10.1 empieza a advertir sobre algoritmos de intercambio de claves débiles
OpenSSH 10.1 ya está disponible en versión estable con importantes mejoras de seguridad y rendimiento.
Los desarrolladores de OpenSSH anunciaron el lanzamiento de la versión estable OpenSSH 10.1. Los archivos de compilación estarán disponibles próximamente en los espejos oficiales del proyecto. La nueva versión incluye correcciones de seguridad, la reestructuración de los mecanismos de priorización del tráfico de red y advertencias sobre algoritmos criptográficos débiles.
OpenSSH es una implementación completa del protocolo SSH 2.0 con soporte para cliente y servidor SFTP. El equipo del proyecto agradeció a la comunidad por su participación en el desarrollo, las pruebas y las donaciones; más información está disponible en la página de apoyo.
El cambio principal es la aparición de una advertencia al usar algoritmos de intercambio de claves que no son resistentes a ataques cuánticos. Ahora el cliente ssh informa si la conexión no utiliza un método de cifrado poscuántico. Se puede controlar el comportamiento mediante la nueva opción WarnWeakCrypto en ssh_config. La justificación de esta decisión se expone en una publicación independiente en Criptografía poscuántica en OpenSSH.
Otra actualización importante afectó al manejo de DSCP/IPQoS, los mecanismos de priorización de paquetes. Ahora el tráfico interactivo recibe por defecto la clase EF (Expedited Forwarding), lo que mejora el rendimiento en redes con ancho de banda limitado, por ejemplo, en Wi‑Fi. Los parámetros antiguos lowdelay, throughput y reliability ya no se admiten, porque la arquitectura ToS está obsoleta.
Entre los cambios potencialmente incompatibles figura el traslado de los sockets de ssh-agent desde /tmp al directorio ~/.ssh/agent. Esto refuerza el aislamiento y evita el uso no autorizado de claves por procesos con acceso restringido al sistema de archivos. El agente también recibió nuevas banderas -U, -u, -uu y -T, que controlan la limpieza de sockets obsoletos.
Los desarrolladores eliminaron el soporte experimental de claves XMSS y añadieron la opción ssh-add -N, que desactiva la eliminación automática de certificados al expirar su validez. En el futuro se espera la implementación de un nuevo esquema de firma poscuántico.
La corrección de seguridad clave está relacionada con el manejo de nombres de usuario y URI en la línea de comandos de ssh(1). Ahora se prohíben los caracteres de control y los bytes nulos \0, que podían emplearse para inyectar expresiones de shell junto con el especificador %u. El problema fue descubierto por el investigador David Lidbiter.
Entre las nuevas capacidades están el registro de eventos mediante la señal SIGINFO, mensajes ampliados sobre fallos de certificados en sshd(8), soporte de claves Ed25519 en tokens PKCS#11 y la directiva RefuseConnection, que permite interrumpir la conexión con una explicación directamente desde la configuración.
Se corrigieron decenas de errores: desde retrasos con la opción ObscureKeystrokeTiming activada hasta fugas de memoria y el comportamiento incorrecto de MaxStartups. El tamaño máximo admitido del archivo de configuración se ha incrementado a 4 MB.
En la sección de portabilidad se añadieron mejoras para FreeBSD, macOS y Android. Por ejemplo, ahora sshd maneja correctamente futex_time64 en la caja de arena seccomp y comprueba la existencia de la función nlist antes de usarla. También se presentó la nueva herramienta gnome-ssh-askpass4 para entornos GNOME 40+ con la API GCR.