Публикувана е версията на OpenSSH 9.7, отворена реализация на клиент и сървър за работа с помощта на протоколите SSH 2.0 и SFTP. Предложената версия започна да прави промени, за да предвиди бъдещото отхвърляне на базирани на DSA ключове. OpenSSH 9.7 предоставя опция за деактивиране на DSA по време на компилиране, но компилацията по подразбиране с поддръжка на DSA засега се запазва. В следващото издание, планирано за юни, режимът на изграждане ще бъде променен, за да деактивира DSA по подразбиране, а внедряването на DSA ще бъде премахнато от кодовата база в началото на 2025 г.
По подразбиране използването на DSA ключове беше преустановено през 2015 г., но кодът за поддръжка на DSA беше изграден по подразбиране и направи възможно връщането на DSA чрез настройките. Трябва да се отбележи, че алгоритъмът DSA е единственият, необходим за внедряване в протокола SSHv2. Това изискване беше добавено, тъй като по време на създаването и одобрението на протокола SSHv2 всички алтернативни алгоритми бяха обект на патенти. Оттогава ситуацията се промени, патентите, свързани с RSA, изтекоха, беше добавен алгоритъмът ECDSA, който значително превъзхожда DSA по производителност и сигурност, както и EdDSA, който е по-безопасен и по-бърз от ECDSA.
Единственият фактор за продължаване на поддръжката на DSA беше поддържането на съвместимост с наследени устройства. В настоящата реалност разходите за продължаване на поддържането на несигурния DSA алгоритъм не си заслужават и премахването му ще насърчи отмяната на поддръжката на DSA в други реализации на SSH и криптографски библиотеки.
В допълнение към промените, свързани с DSA, новата версия предлага нов тип таймаути в ssh и sshd, активирани чрез указване на стойността „global“ в директивата ChannelTimeout. В новия режим OpenSSH следи всички отворени канали и ги затваря веднага, ако няма трафик по всички тях за определен период от време. Например, когато както SSH сесията, така и каналите за пренасочване x11 са отворени за хост едновременно, новият режим позволява и двата канала да бъдат затворени наведнъж, ако са неактивни, вместо отделно проследяване на изчакванията за всеки канал. Сред промените има и значително подобрение в тестването за съвместимост с проекта PuTTY.
Източник: opennet.ru