O projeto OpenBSD lançou na última quinta-feira uma nova compilação da suíte de segurança OpenSSH, com um novo formato de chave privada, uma nova cifra de transporte e o conserto de 15 bugs no Secure Shell. É o OpenSSH versão 6.5, com suporte para a troca de chaves usando curva elíptica Diffie Hellman dentro da curva elíptica Curve25519, do criptógrafo Daniel Bernstein. A chave secreta padrão agora será de 32 bytes, quando o cliente e o servidor suportarem.
Muitas implementações de criptografia ficaram sob suspeita após suposta subversão de algoritmos pela Agência de Segurança Nacional americana (NSA). Documentos da NSA divulgados por Edward Snowden indicam que a agência inseriu algoritmos de criptografia fracos entre os padrões NIST (National Institute of Standards and Technology). O mais evidente pode ser a dupla CE DRBG, biblioteca de criptografia utilizada em vários produtos comerciais, incluindo RSA bSafe. RSA Security. O NIST alertou os desenvolvedores a se afastarem desses algoritmos.
Além disso, de acordo com as notas de lançamento, a versão 6.5 também traz suporte para o esquema assinatura em curva elíptica Ed25519, um ajuste que permite melhor segurança do que DSA (Digital Signature Algorithm) e sua variante ECDSA (Elliptic Curve Digital Algorithm). O novo OpenSSH também está preparado para recusar clientes e servidores mais antigos, que usam um cálculo de hash mais fraco para chaves de troca, incluindo chaves RSA datadas de clientes e servidores “que usam o obsoleto esquema de assinatura RSA+MD5”. Segundo a revista Threat Post, “o algoritmo MD5” já foi quebrado há tanto tempo que não é mais obstáculo para os hackers.
As novas especificações do OpenSSH podem ser encontradas em
http://www.openssh.org/txt/release-6.5