機能にフォーカスした「OpenSSH 6.5/6.5p1」がリリース

 オープンソースのSSH実装「OpenSSH」開発チームは1月29日、最新版「OpenSSH 6.5/6.5p1」をリリースした。機能改善を中心としたリリースで、暗号機能の強化や古い機能の削除が加わっている。

 OpenSSHはSSHサーバーおよびクライアント、SFTPおよびSCPクライアント、関連ツールなどを含むSSH実装。SSHプロトコルの全バージョンをサポート、パスワードを含むすべてのトラフィックを効率よく暗号化でき、盗聴やハイジャックなどの攻撃から予防できる。安全なトンネリング技術、複数の認証方法サポートなども特徴。プロジェクトはOpenBSD Projectで開発されており、BSD Licenseで公開されている。

 OpenSSH 6.5は、2013年11月に公開されたバージョン6.4に続くリリースとなる。本バージョンでは、Daniel Bernstein氏が発案したCurve25519楕円曲線DH(Diffe Hellman)アルゴリズムを使った鍵交換が新たにサポートされた。また、楕円曲線署名スキームのEd25519を公開鍵のタイプとして利用できるようになった。Ed25519はECDSAおよびDSAよりも安全性が高く、性能にも優れるとしており、ユーザー鍵とホスト鍵の両方で利用できるとしている。合わせて、bcrypt KDFを利用する秘密鍵フォーマットが新たに加わった。鍵の保護を強固にするもので、Ed25519鍵ではこのフォーマットが無条件に用いられる。近い将来は、このフォーマットをデフォルトにしたいとのこと。

 また、Bernstein氏のChaCha20ストリーム暗号とPoly1305 MACを組み合わせた新しいトランスポート暗号chacha20-poly1305@openssh.comが加わった。各対称鍵向けに要求されるDHグループのサイズも増強されている。新しい値はNIST Special Publication 800-57からとなり、上限はRFC4419で指定される。また、ssh_configファイルで「Match」キーワードが新たに利用できるようになった。これによりホスト名、ユーザー、コマンドといった条件ごとに各種設定が可能になった。

 一方で、古いRSA+MD5署名スキームを用いるプロプライエタリのクライアントとサーバーのRSA鍵は拒否するよう変更された。これらクライアントとサーバーとの接続は引き続き可能だが、受け付けるのはDSA鍵のみとなる。将来的には接続を完全に拒否する計画という。

 このほか、多数の細かな機能追加やバグ修正も加わっている。

OpenSSH
http://www.openssh.com/