Апублікаваны рэліз OpenSSH 9.7, адчыненай рэалізацыі кліента і сервера для працы па пратаколах SSH 2.0 і SFTP. У прапанаванай версіі пачалося занясенне змен, якія папярэднічаюць будучаму спыненню падтрымкі ключоў на базе алгарытму DSA. У OpenSSH 9.7 прадстаўлена опцыя для адключэння DSA на стадыі кампіляцыі, але зборка па змаўчанні з падтрымкай DSA пакуль захавана. У наступным выпуску, вызначаным на чэрвень, рэжым зборкі будзе зменены на адключэнне DSA па змаўчанні, а ў пачатку 2025 года рэалізацыя DSA будзе выдалена з кодавай базы.
Па змаўчанні выкарыстанне ключоў DSA спынена яшчэ ў 2015 годзе, але код для падтрымкі DSA збіраўся па змаўчанні і дазваляў вярнуць DSA праз наладкі. Характэрна, што алгарытм DSA з'яўляецца адзіным абавязковым да рэалізацыі ў пратаколе SSHv2. Падобнае патрабаванне было дададзена бо падчас стварэння і зацвярджэння пратаколу SSHv2 усе альтэрнатыўныя алгарытмы падпадалі пад дзеянне патэнтаў. З тых часоў сітуацыя змянілася, спынілі дзеянне патэнты, звязаныя з RSA, дададзены алгарытм ECDSA, значна апераджальны DSA па прадукцыйнасці і бяспецы, а таксама EdDSA, які бяспечней і хутчэй ECDSA.
Адзіным фактарам працягу падтрымкі DSA заставалася захаванне сумяшчальнасці з састарэлымі прыладамі. У цяперашніх рэаліях выдаткі на працяг суправаджэння небяспечнага алгарытму DSA не апраўдваюць сябе і яго выдаленне дазволіць стымуляваць спыненне падтрымкі DSA у іншых рэалізацыях SSH і крыптаграфічных бібліятэках.
Акрамя змен, звязаных з DSA, у новым выпуску прапанаваны новы тып таймаўтаў у ssh і sshd, які ўключаецца праз указанні значэння "global" у дырэктыве ChannelTimeout. У новым рэжыме OpenSSH адсочвае ўсе адчыненыя каналы і зачыняе іх зараз, калі ва ўсіх з іх за паказаны прамежак часу адсутнічаў трафік. Напрыклад, калі да хаста адначасова адчыненыя каналы для SSH-сеансу і перанакіраванні x11, новы рэжым дазваляе зачыніць адразу абодва канала, калі яны неактыўныя, замест паасобнага адсочвання таймаўтаў для кожнага канала. З змен таксама адзначаецца значнае паляпшэнне тэсціравання сумяшчальнасці з праектам PuTTY.
Крыніца: opennet.ru