Apple、macOS SierraでOpenSSH v7を採用。いくつかのレガシーな暗号が無効に。

スポンサーリンク

 AppleはmacOS SierraでOpenSSH v7を採用するため、いくつかのレガシーな暗号が無効になると注意を促しています。詳細は以下から。

Terminal-logo-icon

 現在Appleは開発者向けに次期macOS 10.12 SierraのBeta版を公開していますが、このアップデートではOpenSSHのバージョンが現在(OS X 10.11.6 El Capitan)のv6.9p1からv7.xへ引き上げられるそうです。

OpenSSH-v6-9-p1

 AppleはOS X 10.11.4のOpenSSH v6.9p1で確認された脆弱性にパッチを当てるなどして使用していましたが、次期macOS 10.12では現在OpenBSDプロジェクトが公開している最新のv7.2p2が採用されているため、

いくつかのレガシーな暗号がデフォルトで無効になるほか、”PubkeyAcceptedKeyTypes”といった新しいオプションが利用可能になっているので、Betaユーザーおよび管理者の方は確認してみてください。

  • 1024ビットの”diffie-hellman-group1-sha1″鍵交換のサポートがデフォルトで無効に
  • “ssh-dss”, “ssh-dss-cert-*”ホスト/ユーザ鍵のサポートがデフォルトで無効に
  • 1024ビットよりも小さなすべてのRSA鍵の拒否(v7.1p1)
  • ユーザー認証に利用できる公開鍵の種類を制御する”PubkeyAcceptedKeyTypes”オプションがssh_configで利用可能に
  • ホスト認証に提供する公開鍵の種類を制御する”HostKeyAlgorithms”オプションがssh_configで利用可能に