22.04.2024

Релиз OpenSSH 9.7

Опубликован релиз OpenSSH 9.7, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В предложенной версии началось внесение изменений, предшествующих будущему прекращению поддержки ключей на базе алгоритма DSA. В OpenSSH 9.7 предоставлена опция для отключения DSA на стадии компиляции, но сборка по умолчанию с поддержкой DSA пока сохранена. В следующем выпуске, намеченном на июнь, режим сборки будет изменён на отключение DSA по умолчанию, а в начале 2025 года реализация DSA будет удалена из кодовой базы.

По умолчанию использование ключей DSA прекращено ещё в 2015 году, но код для поддержки DSA собирался по умолчанию и позволял вернуть DSA через настройки. Примечательно, что алгоритм DSA является единственным обязательным к реализации в протоколе SSHv2. Подобное требование было добавлено так как во время создания и утверждения протокола SSHv2 все альтернативные алгоритмы подпадали под действие патентов. С тех пор ситуация изменилась, прекратили действие патенты, связанные с RSA, добавлен алгоритм ECDSA, значительно опережающий DSA по производительности и безопасности, а также EdDSA, который безопаснее и быстрее ECDSA.

Единственным фактором продолжения поддержки DSA оставалось сохранение совместимости с устаревшими устройствами. В нынешних реалиях затраты на продолжение сопровождения небезопасного алгоритма DSA не оправдывают себя и его удаление позволит стимулировать прекращение поддержки DSA в других реализациях SSH и криптографических библиотеках.

Кроме изменений, связанных с DSA, в новом выпуске предложен новый тип таймаутов в ssh и sshd, включаемый через указания значения «global» в директиве ChannelTimeout. В новом режиме OpenSSH отслеживает все открытые каналы и закрывает их разом, если во всех из них за указанный промежуток времени отсутствовал трафик. Например, когда к хосту одновременно открыты каналы для SSH-сеанса и перенаправления x11, новый режим позволяет закрыть сразу оба канала, если они неактивны, вместо раздельного отслеживания таймаутов для каждого канала. Из изменений также отмечается значительное улучшение тестирования совместимости с проектом PuTTY.

Источник: https://www.opennet.ru/opennews/art.shtml?num=60772 Источник.