openssh 10

OpenSSH 10 en 2025: Adiós al DSA, cifrado postcuántico y todo lo que debes sabe

Introducción

¿Sigues usando claves DSA en tus servidores? OpenSSH 10 —la nueva versión del estándar para conexiones seguras— acaba de eliminarlas por completo y apuesta por algoritmos resistentes a ordenadores cuánticos. En este artículo, te explicamos cómo afectan estos cambios a administradores de sistemas, qué mejoras incluye esta versión (como mlkem768x25519-sha256) y cómo prepararte para la migración.

openssh 10

OpenSSH 10: 4 cambios que redefinen la seguridad SSH

1. Adiós definitivo al algoritmo DSA

  • OpenSSH completó la retirada de DSA (iniciada en 2015), considerado inseguro ante ataques modernos.
  • ¿Qué hacer? Actualizar claves heredadas a Ed25519 o RSA de 3072+ bits.

2. Cifrado híbrido postcuántico (PQE)

  • Nueva opción predeterminada: mlkem768x25519-sha256, combina X25519 (curvas elípticas) y ML-KEM-768 (resistente a cuánticos).
  • Ventaja: Protege datos sensibles incluso frente a futuros ordenadores cuánticos.

3. Separación de procesos para reducir ataques

  • La autenticación de usuarios ahora corre en sshd-auth, un binario independiente.
  • Beneficio: Mitiga riesgos como DoS y libera memoria tras la autenticación.

4. Prioridad a AES-GCM y tokens FIDO

  • Reemplaza AES-CTR por AES-GCM (mejor rendimiento y autenticación integrada).
  • Soporte ampliado para tokens FIDO/U2F: ideal para empresas con políticas de MFA.

¿Cómo afecta OpenSSH 10 a usuarios y servidores?

  • Para administradores:
    • Deben actualizar claves DSA y revisar configuraciones de Diffie-Hellman.
    • Opción recomendada: Usar ssh-keygen -t ed25519 para nuevas claves.
  • Para desarrolladores:
    • Mejoras en ssh_config: Reglas condicionales basadas en versión o tipo de sesión.
    • Ejemplo:
Match version < 10.0  
  KexAlgorithms +diffie-hellman-group14-sha256
  • Para entornos legacy:
    • Soporte mejorado para AWS-LC y bibliotecas antiguas.

FAQ: Preguntas clave sobre OpenSSH 10

¿Es obligatorio actualizar a OpenSSH 10?

Sí, si usas DSA o necesitas protección contra amenazas cuánticas. Para otros casos, sigue siendo altamente recomendable por los parches de seguridad.

¿Cómo actualizar OpenSSH en Linux?

# Debian/Ubuntu
sudo apt update && sudo apt upgrade openssh-server

# RHEL/CentOS
sudo yum update openssh

¿OpenSSH 10 afecta al rendimiento?

No significativamente. AES-GCM y ECDH optimizan el uso de recursos frente a opciones obsoletas.

Consejos técnicos para la migración

  1. Pruebas previas: Usa ssh -Q key para ver algoritmos soportados.
  2. Monitoriza logs: Busca errores post-actualización con journalctl -u sshd.
  3. Backups: Guarda copias de /etc/ssh/sshd_config y claves antiguas.

Amplía tu lectura con estas notas en nuestro blog: SSH sin contraseña, Autenticación SSH usando certificados de usuario firmados en el servidor y Vulnerabilidades en OpenSSH. ¡A parchar ya!

Puedes conocer más leyendo las notas de lanzamiento.

¿Has probado ya OpenSSH 10? Cuéntanos en comentarios si encontraste problemas con la migración o cómo implementaste el cifrado híbrido. ¡Comparte este artículo si te sirvió! 🔐