OpenSSH 10 发布：全面升级密码学架构，增强安全性与性能

在 OpenBSD 的强力支持下，OpenSSH 项目正式发布了具有里程碑意义的 OpenSSH 10 版本。作为远程登录和加密文件传输的标杆工具集，此次更新带来了一系列突破性改进。你可以通过官方镜像获取最新版本。

OpenSSH 10 更新亮点

密码学架构全面升级

OpenSSH 10 最重大的变革是彻底移除了脆弱的 DSA（数字签名算法）支持。虽然从 2015 年起 ，DSA 就已经被默认禁用，但本次更新终于彻底退役了 DSA。

其他值得关注的底层调整包括：

• scp和sftp命令现在默认会向 SSH 传递ControlMaster no配置参数，避免意外的隐式会话创建。
• 版本号直接跃升至 OpenSSH 10，可能会影响依赖简单模式匹配的脚本逻辑。例如，解析版本信息时使用OpenSSH_1*.的脚本或工具，需要做出相应调整。

服务器安全架构重塑

服务端组件sshd进行了革命性重构：

• 认证流程从sshd-session迁移至专用的sshd-auth二进制文件。
• 默认禁用了基于有限域的 Diffie-Hellman（modp）密钥交换。
• 全面转向更安全高效的 ECDH 椭圆曲线算法。

前瞻性功能升级

虽然淘汰弱算法和调整认证流程才是本次更新的核心，但 OpenSSH 10 也带来了各类新功能和改进，全面提升了实用性。以下几个功能尤为值得关注：

• 混合后量子密钥交换：引入了全新的mlkem768x25519-sha256混合算法，完美平衡了量子安全与性能需求。
• 调整加密算法优先级：OpenSSH 10.0 在连接中优先选择AES-GCM而非AES-CTR 作为加密算法，同时将ChaCha20/Poly1305排在首位，确保最高的性能和可靠性。
• 增强配置灵活性：支持在多个ssh_config指令中使用%-token和环境变量扩展（如SetEnv、User），为用户提供了更灵活的配置选项。同时，新增的Match规则支持根据本地 OpenSSH 版本（Match version）或会话类型（如shell、exec、subsystem或none）进行更加细粒度的控制。
• 管理功能升级：从在sshd_config中新增的模式匹配功能（如AuthorizedKeysFile和AuthorizedPrincipalsFile），到针对 FIDO token 在ssh-agent中的行为控制，OpenSSH 10 对管理员和高级用户的工作流程进行了显著优化。

稳定性提升与问题修复

OpenSSH 10 重点解决了以下问题：

• X11 转发中的 ObscureKeystrokeTiming 问题。
• 增强 Diffie-Hellman Group Exchange 回退机制。
• 解决了一些出现在sftp和ssh中的边界问题。
• 提升了大型sshd配置文件的解析性能。

更多详细信息，请查看 OpenSSH 10 的详细发布说明。