Die vrystelling van OpenSSH 9.7 is gepubliseer, 'n oop implementering van 'n kliënt en bediener om met die SSH 2.0- en SFTP-protokolle te werk. Die voorgestelde weergawe het begin om veranderinge aan te bring om die toekomstige depresie van DSA-gebaseerde sleutels te voorsien. OpenSSH 9.7 bied 'n opsie om DSA tydens samestelling te deaktiveer, maar die verstekbou met DSA-ondersteuning word vir eers behou. In die volgende vrystelling, geskeduleer vir Junie, sal die boumodus verander word om DSA by verstek te deaktiveer, en die DSA-implementering sal vroeg in 2025 van die kodebasis verwyder word.
By verstek is die gebruik van DSA-sleutels in 2015 gestaak, maar die kode om DSA te ondersteun is by verstek gebou en het dit moontlik gemaak om DSA deur die instellings terug te stuur. Dit is opmerklik dat die DSA-algoritme die enigste een is wat benodig word vir implementering in die SSHv2-protokol. Hierdie vereiste is bygevoeg omdat alle alternatiewe algoritmes ten tyde van die skepping en goedkeuring van die SSHv2-protokol aan patente onderhewig was. Sedertdien het die situasie verander, die patente wat met RSA geassosieer word, het verval, die ECDSA-algoritme is bygevoeg, wat aansienlik beter is as DSA in prestasie en sekuriteit, asook EdDSA, wat veiliger en vinniger as ECDSA is.
Die enigste faktor in die voortgesette DSA-ondersteuning was die handhawing van verenigbaarheid met verouderde toestelle. In die huidige werklikheid is die koste om voort te gaan om die onveilige DSA-algoritme te handhaaf nie die moeite werd nie, en die verwydering daarvan sal die afskaffing van DSA-ondersteuning in ander SSH-implementerings en kriptografiese biblioteke aanmoedig.
Benewens die veranderinge wat met DSA verband hou, bied die nuwe vrystelling 'n nuwe tipe time-outs in ssh en sshd, wat aangeskakel word deur die waarde "global" in die ChannelTimeout-aanwysing te spesifiseer. In die nuwe modus monitor OpenSSH alle oop kanale en maak dit gelyktydig toe as daar vir 'n bepaalde tydperk geen verkeer op almal is nie. Byvoorbeeld, wanneer beide SSH-sessie- en x11-herleidingskanale terselfdertyd oop is vir 'n gasheer, laat die nuwe modus toe dat beide kanale gelyktydig gesluit word as hulle onaktief is, in plaas daarvan om afsonderlik uitteltye vir elke kanaal op te spoor. Onder die veranderinge is daar ook 'n aansienlike verbetering in verenigbaarheidstoetsing met die PuTTY-projek.
Bron: opennet.ru