リリースノート Ver6.6以降|Tectia SSH Client|ディアイティ
製品
ホーム  >  ユーザサポート  >  Tectia SSH  >  サポート >  リリースノート

リリースノート Ver6.6以降|Tectia SSH Client/Server

重要なお知らせ
Tectia SSH 6.6.3 および Tectia Quantum SSH 6.6.3リリース

2024.03.18

SSHコミュニケーションズ・セキュリティ社(SSH社)より、Tectia SSH 6.6.3 および Tectia Quantum SSH 6.6.3がリリースされました。

Tectia Client/Server 6.6.3について

  • 本バージョンは、保守にご加入いただいている既存のお客様に対し提供可能となります(バージョンアップ、追加購入のみ)。新規のお客様におかれましては、下記Tectia Quantum SSHをご購入いただく形となります。

Tectia Quantum SSH Client/Server 6.6.3について

  • Tectia Quantum SSH Client/Server 6.6.3は、HP-UX(IA-64およびPA-RISC)、Solaris(SPARCおよびx86-64)、Linux(x86-64)およびWindows(x86-64)プラットフォーム上でのみ利用可能です。
  • Tectia Quantum SSH Client Windows版では、日本語版GUIが使用可能となっております。
  • Tectia Quantum SSH Client/Server 6.6.3は、ライセンス形態が「サブスクリプション形式」となります。従来のTectia SSH Client/Serverからの更新をご希望のお客様に関しましては、弊社SSH担当営業までお問い合わせください。
    メールアドレス:info@dit.co.jp

重要な変更点

6.6.3での重要な変更点

Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server

  • MACアルゴリズムのデフォルト値からhmac-sha2-256-etm@openssh.comおよび、hmac-sha2-512-etm@openssh.comが除外されました。
    また、影響度の低いCVE-2023-48795に対する厳格なKEX緩和策が実装されました。なお、Secure Shellサーバもstrict KEXをサポートする必要があることに注意してください。
  • ホスト鍵生成時にデフォルトでパスフレーズ用のプロンプトが表示されなくなりました。FIPS モードでは、ランダムパスフレーズが hostkey.pass ファイルに格納され、非 FIPS モードでは空のパスフレーズになります。
  • FIPSモジュールがSolaris、Linux、WindowsのOpenSSL 3.0.8に更新されました。
  • FIPSモードでは、diffie-hellman-group-exchange-sha256 (DH-GEX-SHA256)およびその他のGroup交換(GEX)方式は、FIPS 140-2 NIST SP 800-56Ar3に準拠するため、鍵交換(KEX)では無効になりました。140-2 NIST SP 800-56Ar3 に準拠し、標準的なモジュラー指数(MODP)にてdiffie-hellman-group18-sha512 のようなDiffie-Hellmanグループの使用をするようになりました。
    FIPSを使用するお客様は、Tectiaのコンフィグレーションにグループエクスチェンジ(GEX)メソッドが含まれていないことを確認してください。Secure Shell Serverが他の方式を提供していない場合、またはssh-broker-config.xmlでdiffie-hellman-group-exchange-*(DH-GEX-*)アルゴリズムのみが有効になっている場合、アップグレード後に「KEX negotiation failed」エラーが発生し、FIPSモードのTectiaクライアントが接続に失敗します。
  • デフォルトの設定にて、AES-CTRよりもAES-GCMが優先されるようになりました。
  • Rocky Linux(8、9)、Ubuntu(18.04、20.04、22.04)、Debian GNU/Linux(11、12)の公式サポート、Debian GNU/Linux(11、12)プラットフォームの公式サポートを追加しました。

主な新機能

6.6.3での主な新機能

Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server

  • WindowsOS:SFTPでディレクトリのシンボリックリンクをサポートするようになりました。
  • 全OS共通:現在実行中のブローカーのパフォーマンス・プロファイリングを確認できるようになりました。パフォーマンスはssh-broker-ctl performance show、ssh-server-ctl performance showコマンドで取得できます。
  • 全OS共通:ssh-keygen-g3ツールパスフレーズの扱いを改善しました。新しい鍵の生成時に--random-passオプションが使用された場合、秘密鍵はBASE64でエンコードされたパスフレーズで保護され、.passのパスが出力されるようになりました。

Tectia Client / Tectia Quantum SSH Client

  • 全OS共通:公開鍵認証が使用されている場合に、使用される署名アルゴリズムのレポートが改善されました。また、「ssh-broker-ctl connection-status ID --auth-log」に--auth-logオプションが追加されました。
  • 全OS共通:コマンドラインクライアントのsshg3、sftpg3、scpg3には、 --any-algオプションが追加され、安全でないものも含めて、サポートされているアルゴリズムをすべて使用できるようになりました。また、特定のオプションでサポートされているすべてのアルゴリズムを---ciphers=any --macs=any、--kexs=any、--hostkey-algorithms=anyまたは--publickey-algorithms=anyで許可することもできます。コマンドラインでアルゴリズムが明示的に指定された場合、--any-algの代わりにそのアルゴリズムが使用されます。

Tectia Server / Tectia Quantum SSH Server

  • 全OS共通:外部のホスト鍵がアドバタイズ機能により、ローテーションできるようになりました。
  • 全OS共通:ssh-keygen-g3ツールパスフレーズの扱いを改善しました。--hostkeyモードでパスフレーズをプロンプトする—prompt-passオプションを追加しました。
  • 全OS共通:リソースの制約があるシステムでの接続負荷のバランスを取るために、認証されていない接続の最大制限設定オプションを追加しました。
  • 全OS共通:SFTP サブシステムのデバッグを改善しました。sftpdebugはデバッグ出力をサーバに向け、標準エラーを無効にします。標準エラーをクライアントに出力するにはsftpstderrdebugを使用します。また、debugおよびdebug-file属性をサーバ構成に追加しました。
  • 全OS共通:SFTP ダウンロードとアップロードの制限をサーバ設定ファイルで強制できるようになりました。ファイル操作の「書き込み」、「読み込み」、「更新」を禁止するためのsftpサブシステムdisable、ストリーミングの代わりに従来のSFTPを使用するためのstreaming、rename、remove、mkdir、rmdir、setstat、symlinkなどの操作、およびdirlist(ディレクトリ一覧表示)とmmclist(MVSマスターカタログ一覧)を禁止するためのintrusiveが追加されました。

不具合修正の内容

6.6.3での主な不具合修正

Tectia Client / Tectia Quantum Client

  • Windows GUI:GUIセッション中に接続を切断した後、同じホストに再接続するとファイルがアップロードされない問題を修正しました。
  • Windows GUI:お気に入りのリモートフォルダを追加する際、デフォルトの.ssh2プロファイルではなく、正しいプロファイルに追加されるようになりました。
  • Windows GUI:"Preserve original file time"(元のファイル時間を保持)設定が尊重されるようになりました。
  • Windows GUI:ファイルの上書き保護が有効な状態でファイルを上書きしようとすると、ユーザにプロンプトメッセージが表示されない問題を修正しました。
  • Windows GUI:認証プロンプトで空のパスフレーズまたはパスワードが提供された場合、クライアントは認証の試行をキャンセルし、  次のメソッドにスキップするようになりました。以前は、GUIはパスフレーズを繰り返し要求していました。
  • 全OS共通:ブローカーで、SHA-1が許可されていないFIPSモードでSHA-1を試みた場合などに「署名操作に失敗しました」と表示され、接続が失敗する問題を修正しました。Key_store_sign_failedでは、特定の鍵だけが失敗し、サーバ側で認可されていれば次の公開鍵が試行されます。

Tectia Server / Tectia Quantum SSH Server

  • 全OS共通:PKCS#11 プロバイダ経由で構成されたHSM ホスト鍵をallow-reuse(yes)で初期化できるようになり、サーバ構成GUIでApplyをクリックした後やssh-server-ctl reloadでの失敗を防止できるようになりました。以前はHost key algorithm negotiation failed.で鍵交換に失敗していました。
  • Windows GUI: SFTP におけるネットワーク共有の処理を改善しました。以前は、高負荷時に古い接続のログオンセッションのクリーンアップに失敗すると、sft-server-g3 プロセスが起動中にハングすることがありました。その結果、SFTPセッションを開くのに時間がかかり、回復するためにサーバを再起動する必要がありました。
  • Windows GUI: Windows 6.5および6.6以前のバージョンで、既存の仮想フォルダへのファイル転送中にnot a directoryまたはinvalid virtual directoryエラーが発生する、仮想ホームディレクトリに関する複数の問題を修正しました。仮想ルートまたはカスタムディレクトリが仮想ホームディレクトリとして設定されている場合も改善されました。
  • Windows GUI: Server Configuration GUIで、パスワードキャッシュからユーザを削除できないことがありましたが、パスワードキャッシュからのユーザの削除に失敗しなくなりました。6.5および6.6以前のバージョンでは、ssh-server-ctlを使用してユーザを削除できました。
  • Windows GUI: sft-server-g3に属性を送信する際に、コマンドラインパラメータの代わりに標準入力を使用するようになりました。以前は、長い仮想フォルダパスが設定されている場合、SFTPチャネルのオープンに失敗していました。

※その他の新機能、修正点、既知の問題に関してはリリースノートをご参照ください。

Tectia SSH 6.5.1および6.5.2リリース

2023.08.01

SSHコミュニケーションズ・セキュリティ社(SSH社)より、Tectia SSH 6.6.2 および Tectia Quantum SSH 6.6.2がリリースされました。

Tectia Client/Server 6.6.2について

  • 本バージョンは、保守にご加入いただいている既存のお客様に対し提供可能となります(バージョンアップ、追加購入のみ)。新規のお客様におかれましては、下記Tectia Quantum SSHをご購入いただく形となります。

Tectia Quantum SSH Client/Server 6.6.2について

  • Tectia Quantum SSH Client/Server 6.6.2は、HP-UX(IA-64およびPA-RISC)、Solaris(SPARCおよびx86-64)、Linux(x86-64)およびWindows(x86-64)プラットフォーム上でのみ利用可能です。
  • Tectia Quantum SSH Client Windows版では、日本語版GUIが使用可能となっております。
  • Tectia Quantum SSH Client/Server 6.6.2は、ライセンス形態が「サブスクリプション形式」となります。従来のTectia SSH Client/Serverからの更新をご希望のお客様に関しましては、弊社SSH担当営業までお問い合わせください。
    メールアドレス:info@dit.co.jp

重要な変更点

6.6.2での重要な変更点

Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Serve

  • DSAは非推奨となり、ホスト鍵アルゴリズムや公開鍵署名アルゴリズムのデフォルト値には含まれなくなりました。ホスト鍵やユーザ鍵には、他のホスト鍵アルゴリズムや署名アルゴリズムを使用することを強くお勧めします。
    注意:DSA鍵による公開鍵認証は、アップグレード後の署名に失敗します。サーバ側でRSAまたは楕円曲線鍵 (ECDSAまたはEdwards Curve) のユーザ鍵を新規に生成し、認証ユーザの公開鍵を置き換えることをお勧めします。
    Secure Shell ServerがDSAホスト鍵のみをIDとして持ち、ssh-broker-config.xmlでDSAアルゴリズム (ssh-dss-sha256@ssh.comなど)非推奨の鍵の使用を明示的に許可していない場合、アップグレード後に「Key Exchange failed」および「Host key algorithm negotiation failed」エラーで接続が失敗します。
    サーバ固有の接続プロファイルまたは汎用のレガシー接続プロファイルを作成することをお勧めします。古いサーバに接続するときに、最後にリストされる非推奨のDSAアルゴリズムを含むプロファイルが存在する場合、DSAホスト鍵または許可されたユーザの公開鍵はサーバ側では変更できません。
  • Solaris、Linux、および Windows内ではOpenSSL3.0 FIPSコンテナを使用します。RSA、ECDSAおよびEd25519鍵は、FIPSモードでサポートされています。FIPSモードで動作している場合、クライアント設定 GUIで新しい DSA鍵を生成することはできません。必要であれば、3072ビットまたは2048ビットのDSA鍵は、ssh-keygen-g3 --fips-modeで生成することができます。
  • Solaris用のインストールパッケージが64ビット化されました。
  • Tectia Clientでは、ホストベース認証において、常にSHA-2アルゴリズムで署名するようになったため、ユーザ認証方法としてホストベース認証を有効にしている旧サーバとは相互運用ができません。ホストベース認証を使用している環境では、クライアント側、サーバ側ともにTectiaの最新バージョンにアップグレードすることを推奨します。

Tectia Quantum SSH Client / Tectia Quantum SSH Server

  • Tectia Quantum Safe Editionの一部として、SolarisのPQCアルゴリズムに対応しました。

Tectia Server / Tectia Quantum SSH Server

  • Unixプラットフォームでのアップグレード中、現在の既定のホスト鍵が DSA鍵の場合、新しい既定のRSAホスト鍵 /etc/ssh2/hostkeyは自動的に生成されます。アップグレード後、古い DSAホスト鍵 /etc/ssh2/hostkey_dsa_oldは、必要に応じて追加のIDとして手動で有効にすることができます。ssh-server-config-example.xmlを参照してください。

以下は前バージョン6.6.1での内容となります。

6.6.1での重要な変更点

Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server

  • デフォルトのRSAおよびDSAの鍵長を2048ビットから3072ビットに、ECDSAの鍵長を256ビットから384ビットに変更しました。これらの変更は、上記の認証鍵について、SSH社が推奨する新しい最小値を反映したものです。

Tectia Quantum SSH Client / Tectia Quantum SSH Server

  • NISTはCRYSTALS-Kyberを選択しました。この決定を受けて、私たちは、SABERをデフォルトから削除することにしました。ただし、SABERは引き続きサポートされ、PQCハイブリッドKEX ecdh-nistp521-firesaber-sha512@ssh.comを構成で有効にすることができます。
    詳細は以下をご参照ください。
    https://csrc.nist.gov/Projects/post-quantum-cryptography/selected-algorithms-2022
    新しいPQCハイブリッド KEXのデフォルトは以下となります。
    ※ ecdh-nistp521-kyber1024-sha512@ssh.com
    ※ curve25519-frodokem1344-sha512@ssh.com
    ※ sntrup761x25519-sha512@openssh.com

主な新機能

6.6.2での主な新機能

Tectia Client/Tectia Quantum Client

  • 全OS共通:コマンドラインクライアントでsshg3、sftpg3、scpg3は、-publickey-algsオプションに対応するようになり、署名アルゴリズムの優先順位を指定できるようになりました。ssh-broker-config.xmlで署名アルゴリズムを指定することもできます。
  • 全OS共通:複数の証明書がある場合に、ユーザ証明書のフィルタリングを改善し、ユーザ認証でサーバに受け入れられやすい証明書を簡単に提供できるようにしました。
  • 全OS共通:OpenSSH 7.4でserver-sig-algs extensionが正しくないと報告された場合の互換性を確保し、ed25519またはecdsa鍵が使用できるようになりました。

Tectia Server/Tectia Quantum Server

  • 全OS共通:Tectia Serverは起動時や設定変更時に、鍵長、Babble、RFC4716、SHA-256などのフィンガープリントを含む情報をServer_hostkeyメッセージに記録するようになりました。これにより、例えば、非推奨のDSAホスト鍵を持つサーバをsyslogやイベントログから特定し、変更されたホスト鍵を追跡することが容易になります。
  • 全OS共通:接続固有のプロトコルアルゴリズム情報(KEX、MAC、Cipherなど)をblackboard fieldsとして利用できるようになりました。Blackboardもユーザ認証中に追加メッセージを送信するため、バナーメッセージをサポートするようになりました。
  • 全OS共通:認証チェーンのセレクタ publickey-passed に ”type" 属性が追加され、より小さな鍵や望ましくないユーザ鍵タイプの使用記録や拒否が簡単にできるようになりました。
  • 追加された外部マッパーはchroot化され、非特権マッパーユーザとして実行できるように改善されました。また、カスタムマッパースクリプトのエラーは、Rule_engine_warningログメッセージでより簡単に確認できるようになりました。

Tectia Quantum Client/Tectia Quantum Server

  • 全OS共通:FIPSモードが有効な場合にサポートされるPQCハイブリッドKEXアルゴリズムであるcurve448-kyber1024-sha512@ssh.comが新しく追加されました。

以下は前バージョン6.6.1での内容となります。

6.6.1での主な新機能

Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server

  • Red Hat Enterprise Linux 9のサポートを追加しました。
  • ncurses 6のサポートを追加し、以前のlibncursesの依存性を排除しました。

不具合修正の内容

6.6.2での主な不具合修正

Tectia Client/Tectia Quantum Client

  • 全OS共通:プロキシルールセットで、直接設定時にIPレンジが無視されなくなりました。以前設定されたプロキシは、すべてのクライアント接続に使用されます。
  • 全OS共通:認証エージェント経由でEd25519ユーザ鍵を使用できるようになりました。
  • 全OS共通:認証エージェントのネスト転送で、条件によっては5分待つとExternalkeyプロバイダエラーで署名失敗する不具合を修正しました。
  • 全OS共通:特定の条件下で、鍵選択ポリシーとして "interactive-shy "を設定した場合に、Brokerがクラッシュすることがなくなりました。
  • 全OS共通:現在有効なユーザ証明書は、デフォルトで最新のものを優先的に使用するようになりました。
  • 全OS共通:複数の証明書を使用し、ユーザが証明書を選択する必要がある場合、”Prompt user to select the public key” オプションを選択しても、Brokerがクラッシュしなくなりました。
  • 全OS共通:OpenSSH Agentを使用した場合に、特定の条件下でBrokerがクラッシュすることがなくなりました。

Tectia Server/Tectia Quantum Server

  • Linux:systemdが使用されている場合、起動時のサーバ設定ファイルのエラーがsyslogにも報告されるようになりました。
  • 全OS共通:サーバはセキュア シェル クライアントが接続を受信したとき、またはログイン猶予時間を超過してクライアントを切断したとき、最初の 7 秒以内にそのバージョンと最初の KEXINIT パケットを送信するようになりました。その後は通常のログイン猶予時間が適用されます。
  • Windows:接続終了後にログオンセッションが正しくクリアされない時がある不具合を修正しました。
  • 全OS共通:設定の再読み込みによってTectia Serverが新しい接続を受け付けなくなる競合状態を修正しました。
  • SELinuxが有効なLinux:正しいコンテキストタイプが /var/opt/tectia に使用されるようになりました。

以下は前バージョン6.6.1での内容となります。

6.6.1での主な不具合修正

Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server

  • RHELのRadius認証のバグを修正し、当該認証方法を利用できないバグを修正しました。

Tectia Client/Tectia Quantum Client

  • 接続プロファイルのユーザ定義パスワードは、一度しか試行されないようになりました。以前は、接続プロファイルのパスワードが正しくないと、試行回数の上限まで接続を再試行するようになっていました。
  • クライアントGUI接続で、パスフレーズ・タイムアウトの設定が反映されるようになりました。
  • OpenSSH Agentとの互換性を向上しました。

Tectia Server/Tectia Quantum Server

  • Windows:NFSでファイルを上書きしようとしても、入出力エラーで失敗することがなくなりました。従来は、SFTPクライアントがアップロードする前に、同名のファイルを削除する必要がありました。

既知の問題

Tectia Client / Tectia Server / Tectia Quantum SSH Client / Tectia Quantum SSH Server

  • Windows:バーチャルフォルダ設定時、ユーザのホームディレクトリが仮想フォルダ上である場合、バーチャルフォルダのパスが誤って解決されます。
    回避策:scpg3等でディレクトリのパスを指定する際、相対パスではなく仮想ルートディレクトリからの完全なパスで指定してください。
    ※ 本不具合は、バージョン6.5.x、および6.6.xにて発生します。今後のバージョンにて修正予定となっております。

※その他の新機能、修正点、既知の問題に関してはリリースノートをご参照ください。

Tectia Quantum SSH 6.6.0リリース

2022.12.01

SSHコミュニケーションズ・セキュリティ社(SSH社)より、量子暗号に対応したTectia Quantum SSH 6.6.0がリリースされました。

Tectia Quantum SSH Client/Server 6.6.0について

  • Tectia Quantum SSH Client/Server 6.6.0は、Linux、AIX、Windowsのx86-64プラットフォーム上でのみ利用可能です。
  • Tectia Quantum SSH Client Windows版では、日本語版GUIが使用可能となっております。
  • バージョン6.6.0について、現時点(2022/12)ではTectia Quantum SSH Client/Serverのみのリリースとなります。
  • Tectia Quantum SSH Client/Server 6.6.0は、ライセンス形態が「サブスクリプション形式」となります。従来のTectia SSH Client/Serverからの更新をご希望のお客様に関しましては、弊社SSH担当営業までお問い合わせください。
    メールアドレス:info@dit.co.jp

重要な変更点

Tectia Quantum Client/Tectia Quantum Server

  • Tectia Quantum Safe Edition ライセンス ファイルは、従来の ECDH アルゴリズムと共にハイブリッド鍵交換で使用される Post Quantum Cryptography (PQC) アルゴリズム SABRE、CHRYSTALS/Kyber、FrodoKEM、および Streamlined NTRU Prime を有効にします。PQC と ECDH アルゴリズムの両方が鍵の材料となり、最強の合成鍵と少なくとも同程度には破れないセッション鍵が得られます。ハイブリッド方式は、将来的にいずれかのアルゴリズムに弱点が発見された場合、記録されたセキュアシェルセッションに対する攻撃のリスクを軽減することができます。
    クライアント側のTectia Clientバージョン6.6以降またはOpenSSHバージョン9.0以上では、PQCハイブリッドKEXアルゴリズムのうち少なくとも1つをサポートし、優先的にする必要があることに注意してください。そうでない場合、デフォルトで従来のKEXアルゴリズムが使用されます。
    設定を変更した6.5.1から、または6.4.xからアップグレードする場合、Post Quantum Cryptography (PQC) アルゴリズムにはTectia Quantum Safe Editionライセンスが必要であり、明示的に設定しない限り有効化されないことに注意してください。PQC ハイブリッド KEXを強制する設定手順については、設定ディレクトリにあるTectia Server のサンプルファイルssh-server-config-example.xml を参照してください。

Tectia Quantum Client

  • SHA-1 ハッシュ アルゴリズムで脆弱性が発見されたため、署名と鍵交換での SHA1 アルゴリズムがTectia Clientのデフォルトから削除されました。これらのアルゴリズムは、特定のレガシー サーバに接続するときのプロファイル設定など、レガシーな理由から引き続き有効にすることができます。フォールバック設定については、システム全体の設定ディレクトリにあるTectia Clientのサンプルファイルssh-broker-config-example.xmlを参照してください。SHA-1アルゴリズムはセキュリティ上の問題から非推奨であり、レガシーへの依存が重要でない限り、有効化すべきではありません。SHA-1 アルゴリズムを有効にすることは、弊社では推奨しておりません。

    * ssh-rsa (RSA/SHA1) は、公開鍵署名アルゴリズムにもホスト鍵アルゴリズムのデフォルト値にも含まれなくなりました。既存の RSA鍵には SHA2型 (例: rsa-sha2-256、ssh-rsa-sha256@ssh.com) を使用することを推奨します。
    * ssh-dss (DSA/SHA1) は、公開鍵署名アルゴリズムにもホスト鍵アルゴリズムにも含まれなくなりました。既存の DSA鍵に SHA2型 (ssh-dss-sha256@ssh.com など) を使用し、追加の RSA、ED25519、または ECDSA鍵を作成して、サードパーティのクライアント/サーバとの相互運用性を向上させることを推奨します。
    * diffie-hellman-group-exchange-sha1 (DH-GEX-SHA1) と diffie-hellman-group14-sha1 は、鍵交換のデフォルト値に含まれなくなりました。SHA2型 (例: diffie-hellman-group-exchange-sha256 および diffie-hellman-group14-sha256) を使用することを推奨します。

SHA2型 @ssh.com アルゴリズムは、2011 年にリリースされたバージョン 6.2.0 以降、Tectia Client/Server でサポートされています。バージョン 6.4.18 以降、標準化されています。
HMAC SHA1 アルゴリズムは、クライアントのデフォルトのままです。NIST はデジタル署名に SHA-1 を使用することを正式に非推奨にしましたが、HMAC のセキュリティは衝突に対する耐性がある基礎となるハッシュ関数に依存しないため、SHA-1 は HMAC に対して安全であると見なされています。
CBC モードの暗号は、クライアントのデフォルトに含まれなくなりました。現在のバージョンには既知の脆弱性はありませんが、GCM などのより優れたカウンター モードが利用可能です。CBC モード暗号は、クライアントの設定で有効にすることができます。この変更は、セキュリティ監査での誤検出を軽減するために行われました。可能な限り CBC モードよりも CTR モードと GCM モードを使用し、他の 2つのカウンターモードを暗号で使用できない場合にのみ CBC モードを使用することを推奨します。

主な新機能

Tectia Quantum Client/Tectia Quantum Server

  • 全OS共通:Post Quantum Cryptography (PQC) のハイブリッド鍵交換アルゴリズムのサポートを追加しました。Tectia Quantum Safe Editionのライセンスがインストールされている場合、以下のPQCハイブリッドKEXアルゴリズムがサポートされ、デフォルトで有効化されます。
    . ecdh-nistp521-firesaber-sha512@ssh.com
    . ecdh-nistp521-kyber1024-sha512@ssh.com
    . curve25519-frodokem1344-sha512@ssh.com
    . sntrup761x25519-sha512@openssh.com
    Tectia Client はデフォルトで、上記の順序で従来の KEX アルゴリズムよりも PQC ハイブリッド KEX アルゴリズムを優先します。
  • IBM AIX 7.3 のサポートを追加しました。

不具合修正の内容

Tectia Quantum Client/Tectia Quantum Server

  • 全OS共通:OCSPレスポンダに対するチェックに失敗した場合、有効なCRLが利用可能であっても、time-interval-was-invalidというエラーでCertificate_validation_failureとなる可能性のある問題を修正しました。

Tectia Quantum Client

  • 全OS共通:Tectia Client Configuration GUIにおいて、プロファイルの "use proxy rule "が切り替えられた時、正しく無効化されるようになりました。

Tectia Quantum Server

  • 全OS共通:証明書バリデータのキャッシュサイズ設定パラメータが300MBに増加しました。

※その他の新機能、修正点、既知の問題に関してはリリースノートをご参照ください。