Open SSH liegt seit heute in Version 7.7 vor. Die ist vorwiegend eine Bugfix-Release, unterstützt aber auch neue Signaturen für die Post-Quanten-Kryptografie und erlaubt Schlüssel mit Verfallsdatum in der “authorized_keys”-Datei.
Auf ihrer Webseite kündigen die Macher von Open SSH zunächst eine Kompatibilitätsmeldung an: Für SSH- und Open-SSH-Versionen, die vor dem Jahr 2001 erschienen sind, stellt die aktuelle Version 7.7 nach satten 17 Jahren den Support ein. Anschließend folgen einige Neuerungen an den verschiedenen Komponenten.
Neu für alle Nutzer ist der noch experimentelle Support für PQC-XMSS-Schlüssel. XMSS steht dabei für Extended Merkle Signature Scheme, es handelt sich um ein effizientes Hash-basiertes Signaturensystem, basierend auf dem Entwurf einer IETF-Spezifikation. Laut dieser zeigen sich die Autoren zuversichtlich, dass XMSS auch resistent gegen eine Entschlüsslung mit Quantencomputern ist.
Verfallsdatum
Der SSH-Dienst “sshd” bringt nun für die “authorized_keys”-Datei eine Option “expiry-time” mit, über die Admins ihren Keys ein Verfallsdatum mit auf den Weg geben. Dank einer neuen Umgebungsvariablen “SSH_TUNNEL” lassen sich Netzwerkschnittstellen, die für Tun/Tap-Forwarding vorgesehen sind, automatisch konfigurieren und auf dem Server einsetzen. Zugleich hilft die Expansionsvariable “%T” in der “LocalCommand”-Direktive dabei, dieses Tun/Tap-Interface auf den Einsatz vorzubereiten.
Der “rdomain”-Parameter ergänzt optional die Match-Keywords in der “sshd_config”-Datei und gehört zur “ListenAddress”-Direktive. Dank der neuen Option, reagiert “sshd” abhängig von der Routing-Domain unterschiedlich auf eingehende Verbindungen. Momentan funktioniert dies nur für Linux und Open BSD. Letzteres platziert eine authentifizierte Session zudem dank der “RDomain”-Direktive in einer expliziten Routing-Domäne. Auch neu: Konfigurationstests mit “sshd -T” brauchen nur noch die tatsächlich verwendeten Match-Parameter.
URI-Support
SSH, Scp und Sftp bringen neuerdings URi-Support mit und lassen sich etwa in der Form “ssh://user@host” oder “sftp://user@host/Pfad” einsetzen. Auf weitere Verbindungsparameter aus dem IETF-Draft verzichtet die Implementierung allerdings, weil diese alleinig auf MD5-Hashes setzen, die inzwischen als unsicher gelten.
Die “BindInterface”-Option kündigen die Open-SSH-Macher als benutzbare Alternative zu “BindAddress” an. Der Parameter verknüpft ausgehende Verbindungen mit Adressen bestimmter Schnittstellen. Das sind im wesentlichen die neuen Features, Details zu den behobenen Fehlern liefern die Release Notes.






