FIDOサポートを強化した「OpenSSH 8.4」が公開

 SSHプロトコルのオープンな実装であるOpenSSH開発プロジェクトは9月27日、最新版となる「OpenSSH 8.4」公開を発表した。FIDO鍵のサポート強化などが加わっている。

 OpenSSHはSSHプロトコル2.0の完全な実装で、sftpクライアント/サーバーもサポートする。OpenSSH 8.4は2019年に登場した8系の最新版。8系では5月に公開されたOpenSSH 8.3に続くリリースとなる。

 FIDO(Fast IDentity Online)/U2Fのサポートを強化した。FIDO鍵はGoogle Titan Security Keyなどに使われている認証技術で、FIDO Allianceが策定している。最新版では、毎回PINコードを必要とするFIDO鍵を使用できるようになった。libfido2 1.5以上の使用を推奨している。

 sshd(8)では、FIDO署名がトークンを認証するよう求めるverify-requiredオプションを利用できるようになった。sshd(8)、ssh-keygen(1)で、WebブラウザでFIDO鍵を使う認証であるFIDO webauthn署名の検証サポートが加わった。

 OpenSSHとFIDOトークンミドルウェア間のAPIを変更し、その結果SSH_SK_VERSION_MAJORバージョンが(7)に上がった。外部のミドルウェアライブラリはバージョン(7)をサポートする必要がある。FIDOは複数のユーザー認証手法をサポートするがOpenSSHはPINのみをサポートする。

 FIDO鍵を使ってssh-agentでメッセージに署名時、アプリケーション文字列がssh:で始まらない場合は署名されるメッセージが、公開鍵認証、sshsig署名などSSHプロトコルが予想する形式になるようにした。FIDO関連ではこのほかにも多数の細かな機能強化が加わっている。

 ssh(1)で、ssh_config(5)のAddKeysToAgentキーワードが現在のフラグオプションに加えて時間制限を受け付けるようになった。時間制限を設けている鍵は有効期限が過ぎると自動的に削除される。sshd(8)で、256kよりも長井sshd_configファイルをサポートした。このほか、多数の強化が加わっている。

OpenSSH
https://www.openssh.com/