Funzionalità post-quantistiche di SSH migliorate in Red Hat Enterprise Linux

La transizione alla crittografia post-quantistica (PQC, post-quantum cryptography) è a buon punto in Red Hat Enterprise Linux (RHEL). Nel maggio 2025, RHEL 10 ha distribuito algoritmi per lo scambio di chiavi post-quantistiche in tre importanti librerie di crittografia (OpenSSL, GnuTLS ed NSS), rendendo lo scambio di chiavi post-quantistiche utilizzabile nelle connessioni TLS 1.3. È seguito il rilascio di RHEL 10.1, che imposta i nuovi algoritmi di scambio delle chiavi come predefiniti in TLS e introduce le firme post-quantistiche per i pacchetti RPM.

Il protocollo Secure Shell (SSH) non è stato trascurato. RHEL 10 include OpenSSH 9.9, che supporta due metodi ibridi di scambio di chiavi post-quantistiche: sntrup761x25519-sha512 combina il classico scambio di chiavi X25519 con l'algoritmo ottimizzato NTRU prime basato su reticolo (SNTRUP) e mlkem768x25519-sha256 unisce X25519 con il meccanismo di incapsulamento delle chiavi basato su moduli di reticoli (ML-KEM) standardizzato dal National Institute of Standards and Technology (NIST) degli Stati Uniti. A partire da RHEL 10.1, OpenSSH preferisce quest'ultimo per stabilire le connessioni, se non diversamente configurato.

Novità di SSH in RHEL 10.2

Altre funzionalità PQC di SSH sono state integrate in RHEL 10.2.

Scambio di chiavi SSH post-quantistiche in modalità FIPS

Il gruppo di lavoro Secure Shell Maintenance (SSHM) dell'Internet Engineering Task Force (IETF) sta completando la bozza della RFC per mlkem768x25519-sha256 e l’algoritmo è sempre più spesso adottato da varie implementazioni SSH. Tuttavia, la bozza specifica anche altri due algoritmi per lo scambio di chiavi ibride: mlkem768nistp256-sha256 e mlkem1024nistp384-sha384. Questi combinano le varianti ML-KEM con lo scambio di chiavi Diffie-Hellman a curva ellittica (ECDH, elliptic-curve Diffie-Hellman) sulle curve consigliate dal NIST (P-256 e P-384) anziché su Curve25519.

Poiché ML-KEM ed ECDH su P-256/P-384 sono tutti approvati da FIPS, rendiamo mlkem768nistp256-sha256 e mlkem1024nistp384-sha384 disponibili come gli unici due algoritmi di scambio di chiavi SSH post-quantistiche compatibili con FIPS in Red Hat Enterprise Linux 10.2. Sebbene chi si occupa della manutenzione di OpenSSH upstream abbia deciso di non implementare questi due ibridi aggiuntivi, i clienti di Red Hat possono iniziare a utilizzare la crittografia post-quantistica in SSH in modalità FIPS grazie alle patch downstream di OpenSSH fornite dagli sviluppatori Red Hat.

Supporto per lo scambio di chiavi post-quantistiche in libssh

Queste strutture per lo scambio di chiavi ibride stanno finalmente arrivando anche in libssh 0.12.0 (la libreria C SSH). In linea con il comportamento di OpenSSH, i client e i server SSH creati con libssh ora preferiscono l'algoritmo di scambio delle chiavi mlkem768x25519-sha256 per impostazione predefinita in RHEL 10.2. Ciò significa che i clienti che eseguono server personalizzati basati su libssh possono proteggersi dagli attacchi "harvest now, decrypt later" semplicemente eseguendo l'aggiornamento.

Le possibilità future di SSH

Altre funzionalità PQC sono ancora in fase di standardizzazione e Red Hat partecipa al processo.

Scambio di chiavi ML-KEM puro e chiavi SSH post-quantistiche

Monitoriamo le iniziative in corso per standardizzare l'uso dello scambio di chiavi ML-KEM puro (non ibrido) in SSH. Il gruppo di lavoro IETF SSHM non ha ancora adottato la bozza attuale perché non esiste un consenso sulla sua idoneità (gli oppositori sostengono che ML-KEM non sia abbastanza maturo).

È in corso anche la discussione sull'utilizzo di ML-DSA (una famiglia di algoritmi di firma post-quantistica standardizzata dal NIST) all'interno di SSH, con diverse bozze RFC in competizione: draft-rpe-ssh-mldsa e draft-sfluhrer-ssh-mldsa cercano entrambi di standardizzare l'utilizzo dell'ML-DSA puro per le chiavi pubbliche SSH, mentre draft-sun-ssh-composite-sigs e draft-josefsson-ssh-ed25519mldsa65 cercano di standardizzare le firme ML-DSA composite (in combinazione, ad esempio, con le firme EdDSA classiche). L'implementazione di una di queste opzioni consentirebbe ai client e agli host SSH di autenticarsi con chiavi pubbliche post-quantistiche, proteggendoli dagli attacchi man-in-the-middle tramite computer quantistici.

Scambio di chiavi GSSAPI con crittografia post-quantistica

Infine, stiamo lavorando alla standardizzazione dello scambio di chiavi GSSAPI con metodi PQC ibridi (nello specifico i tre metodi ML-KEM ibridi) e all'implementazione in OpenSSH e libssh. La bozza di RFC proposta da Red Hat si basa sulle RFC 4462 ed RFC 8732; la sua adozione renderà l'autenticazione Kerberos in SSH sicura dal punto di vista quantistico.

Conclusione

Con il rilascio di RHEL 10.2, lo scambio di chiavi SSH post-quantistico è abilitato per impostazione predefinita, sia che operi in modalità FIPS o che utilizzi applicazioni SSH personalizzate basate su libssh.  Ti invitiamo ad aggiornare i tuoi sistemi all'ultima versione di Red Hat Enterprise Linux 10 per mitigare le minacce "harvest now, decrypt later".

Guardando al futuro, gli ingegneri di Red Hat rimangono attivi nelle community IETF e upstream per contribuire a definire la fase successiva dell'SSH a sicurezza quantistica, incluso il supporto per chiavi host post-quantistiche e l'autenticazione GSSAPI (Kerberos) post-quantistica. Man mano che i nuovi standard SSH matureranno e raggiungeranno il consenso, continueremo a implementarli e a supportarli nelle future versioni di RHEL.