Udgivelsen af OpenSSH 9.7 er blevet offentliggjort, en åben implementering af en klient og server til at arbejde med SSH 2.0- og SFTP-protokollerne. Den foreslåede version er begyndt at foretage ændringer for at forudse den fremtidige udfasning af DSA-baserede nøgler. OpenSSH 9.7 giver mulighed for at deaktivere DSA på kompileringstidspunktet, men standardbuilden med DSA-understøttelse bibeholdes indtil videre. I den næste udgivelse, planlagt til juni, vil byggetilstanden blive ændret til at deaktivere DSA som standard, og DSA-implementeringen vil blive fjernet fra kodebasen i begyndelsen af 2025.
Som standard blev brugen af DSA-nøgler ophørt tilbage i 2015, men koden til at understøtte DSA blev bygget som standard og gjorde det muligt at returnere DSA gennem indstillingerne. Det er bemærkelsesværdigt, at DSA-algoritmen er den eneste, der kræves til implementering i SSHv2-protokollen. Dette krav blev tilføjet, fordi på tidspunktet for oprettelsen og godkendelsen af SSHv2-protokollen var alle alternative algoritmer underlagt patenter. Siden har situationen ændret sig, patenterne forbundet med RSA er udløbet, ECDSA-algoritmen er tilføjet, som er DSA væsentligt overlegen i ydeevne og sikkerhed, samt EdDSA, som er sikrere og hurtigere end ECDSA.
Den eneste faktor i fortsat DSA-support var at opretholde kompatibilitet med ældre enheder. I den nuværende virkelighed er omkostningerne ved at fortsætte med at vedligeholde den usikre DSA-algoritme ikke det værd, og fjernelse af den vil tilskynde til udfasning af DSA-understøttelse i andre SSH-implementeringer og kryptografiske biblioteker.
Ud over ændringerne relateret til DSA tilbyder den nye udgivelse en ny type timeouts i ssh og sshd, aktiveret ved at angive værdien "global" i ChannelTimeout-direktivet. I den nye tilstand overvåger OpenSSH alle åbne kanaler og lukker dem på én gang, hvis der ikke er trafik på dem alle i en bestemt periode. For eksempel, når både SSH-session og x11-omdirigeringskanaler er åbne for en vært på samme tid, tillader den nye tilstand, at begge kanaler lukkes på én gang, hvis de er inaktive, i stedet for separat sporing af timeouts for hver kanal. Blandt ændringerne er der også en væsentlig forbedring af kompatibilitetstest med PuTTY-projektet.
Kilde: opennet.ru