El reciente lanzamiento de OpenSSH 10.0 ha marcado un significativo avance en el terreno de la ciberseguridad, con una actualización que aborda importantes aspectos de seguridad, compatibilidad y rendimiento. Anunciada el 9 de abril de 2025, esta nueva versión ya está disponible para descarga desde su red de servidores espejo, destacando como una de las actualizaciones más relevantes de los últimos años para este ampliamente utilizado sistema de conectividad segura.
Con la implementación completa del protocolo SSH 2.0 y soporte tanto para cliente como para servidor SFTP, OpenSSH 10.0 ha introducido cambios sustanciales en el manejo de claves, endurecimiento de la seguridad y su arquitectura interna. El equipo de desarrollo, como es costumbre, expresó su agradecimiento a la comunidad que ha estado involucrada en contribuir con código, reportes de errores y pruebas continuas para perfeccionar esta versión.
Cambios críticos e incompatibilidades
Entre los cambios más relevantes se encuentra la definitiva eliminación del soporte para el algoritmo de firma DSA, culminando un proceso que comenzó una década atrás. Esta decisión busca mejorar la seguridad al erradicar un algoritmo considerado vulnerable. Además, se realizaron ajustes en el comportamiento de herramientas como scp y sftp, mejorando su funcionamiento al evitar conexiones inesperadas al no generar sesiones de control implícitas si ControlMaster está activado.
Por otro lado, el servidor SSH (sshd) ha sufrido una reorganización que separa el código de autenticación en un nuevo binario, sshd-auth, reduciendo la superficie de ataque y optimizando la seguridad del proceso. OpenSSH 10.0 también ha desactivado métodos de intercambio de claves basados en Diffie-Hellman modp, optando por métodos más eficientes como el intercambio basado en curvas elípticas (ECDH).
Seguridad post-cuántica activada por defecto
Destaca también la implementación del algoritmo híbrido mlkem768x25519-sha256 como el método de intercambio de claves predeterminado, combinando el protocolo curve25519 con un estándar post-cuántico validado por NIST. Este cambio posiciona a OpenSSH como pionero en ofrecer protección contra ataques cuánticos de manera predeterminada.
Asimismo, las jerarquías de cifrado han sido revisadas, priorizando ahora los cifrados en modo AES-GCM sobre el modo CTR, asegurando un protocolo de comunicación más robusto.
Mejoras funcionales y configurables
Dentro de las novedades en configuración, los administradores encontrarán opciones mejoradas, como el uso de patrones glob en archivos de claves autorizadas y nuevas reglas Match para ajustar el comportamiento según versiones de OpenSSH o tipos de sesión. El cliente SSH también ha mejorado la expansión de variables en directivas, ofreciendo mayor flexibilidad operativa.
Se han realizado mejoras en ssh-agent, que ahora soporta eliminación de claves mediante una señal específica y la activación vía socket en estilo systemd. ssh-keygen también ha sido expandido para trabajar mejor con claves FIDO, incluyendo soporte a dispositivos como Windows Hello.
Corrección de errores y mejoras de compatibilidad
OpenSSH 10.0 ofrece una serie de correcciones a errores en versiones anteriores. Esto incluye la resolución de una vulnerabilidad en DisableForwarding y mejoras de rendimiento en conexiones X11. Problemas de compatibilidad con sistemas big-endian y limitaciones en algoritmos RSA también han sido abordados.
En términos de portabilidad, la nueva versión introduce soporte para bibliotecas criptográficas como AWS-LC y amplía la compatibilidad con sistemas modernos, mejorando la gestión de memoria en Linux y ofreciendo reemplazos seguros para registros wtmp.
Disponibilidad
Ya está disponible para descarga la versión 10.0 desde sus servidores oficiales, reforzando el compromiso del equipo de OpenSSH en mantener un ecosistema seguro y actualizado para sus usuarios a nivel global. Las sumas de verificación SHA256 de los archivos tar están codificadas en base64, lo que puede requerir herramientas compatibles para su uso. Para más detalles, se puede visitar el sitio oficial de OpenSSH.
