OpenSSH 9.9 发布：增强安全性与性能

OpenSSH 项目近日发布了全新的 OpenSSH 9.9 版本，带来了多个关键功能和改进，现已可在官方镜像站点下载。

量子安全性提升：混合后量子密钥交换

此次更新中最值得关注的是对混合后量子密钥交换方法的支持。新加入的 mlkem768x25519-sha256 算法结合了 FIPS 203 的格密封机制 (ML-KEM) 和 X25519 椭圆曲线 Diffie-Hellman (ECDH)，旨在增强未来应对量子计算威胁的安全性。这标志着 OpenSSH 在后量子密码学标准的应用上迈出了重要一步。

更灵活的配置选项

在配置文件灵活性方面，ssh_config 现在支持环境变量的展开，配置文件的动态性进一步提升。而在 sshd_config 中，新增的 “RefuseConnection” 选项允许管理员快速终止不必要的连接。此外，新增的 “Match invalid-user” 选项则可以根据无效用户名匹配条件，细致控制身份验证尝试。

性能优化：NTRUPrime 密钥交换加速

性能方面，OpenSSH 9.9 对 NTRUPrime 密钥交换代码进行了优化，大幅提升了该算法的执行速度，进一步提高了整体密钥交换的效率。

修复与改进

此次更新还修复了多个关键问题：

• 密钥类型解析：仅在用户界面代码中使用简短名称，其他地方要求使用完整 SSH 协议名称。
• 放宽路径限制：恢复了 inetd 模式下无需绝对路径的行为。
• 日志修复：修正了 sshd 日志中源地址与目标地址互换的问题。
• 授权密钥处理：修复了签名验证失败时误应用 authorized_keys 选项的情况。
• User@Host 解析：优化了用户名中包含 “@” 的解析逻辑。

废弃通知：DSA 签名算法将逐步移除

值得注意的是，OpenSSH 计划在 2025 年初移除对 DSA 签名算法的支持。由于 DSA 安全性较低，9.9 版本已默认禁用该算法。这也是 OpenSSH 逐步淘汰过时算法的战略举措。

总结

OpenSSH 9.9 带来了更高的安全性、更灵活的配置选项以及显著的性能提升，特别是在后量子密码学方面的改进非常引人注目。对于未来的量子计算威胁，OpenSSH 正在积极布局。更多详细信息，请参考 OpenSSH 官方发布说明。

The post OpenSSH 9.9 发布：增强安全性与性能 first appeared on Linux迷.