Δημοσιεύτηκε η κυκλοφορία του OpenSSH 9.7, μια ανοιχτή υλοποίηση πελάτη και διακομιστή για εργασία με χρήση των πρωτοκόλλων SSH 2.0 και SFTP. Η προτεινόμενη έκδοση άρχισε να κάνει αλλαγές για να προβλέψει τη μελλοντική κατάργηση των κλειδιών που βασίζονται σε DSA. Το OpenSSH 9.7 παρέχει μια επιλογή απενεργοποίησης του DSA κατά το χρόνο μεταγλώττισης, αλλά η προεπιλεγμένη έκδοση με υποστήριξη DSA διατηρείται προς το παρόν. Στην επόμενη έκδοση, που έχει προγραμματιστεί για τον Ιούνιο, η λειτουργία κατασκευής θα αλλάξει για να απενεργοποιήσει το DSA από προεπιλογή και η εφαρμογή DSA θα αφαιρεθεί από τη βάση κώδικα στις αρχές του 2025.
Από προεπιλογή, η χρήση κλειδιών DSA διακόπηκε το 2015, αλλά ο κώδικας για την υποστήριξη DSA δημιουργήθηκε από προεπιλογή και κατέστησε δυνατή την επιστροφή DSA μέσω των ρυθμίσεων. Αξίζει να σημειωθεί ότι ο αλγόριθμος DSA είναι ο μόνος που απαιτείται για υλοποίηση στο πρωτόκολλο SSHv2. Αυτή η απαίτηση προστέθηκε επειδή τη στιγμή της δημιουργίας και έγκρισης του πρωτοκόλλου SSHv2, όλοι οι εναλλακτικοί αλγόριθμοι υπόκεινταν σε διπλώματα ευρεσιτεχνίας. Έκτοτε, η κατάσταση άλλαξε, τα διπλώματα ευρεσιτεχνίας που σχετίζονται με το RSA έχουν λήξει, προστέθηκε ο αλγόριθμος ECDSA, ο οποίος υπερτερεί σημαντικά του DSA σε απόδοση και ασφάλεια, καθώς και το EdDSA, το οποίο είναι ασφαλέστερο και ταχύτερο από το ECDSA.
Ο μόνος παράγοντας για τη συνέχιση της υποστήριξης DSA ήταν η διατήρηση της συμβατότητας με παλαιού τύπου συσκευές. Στην τρέχουσα πραγματικότητα, το κόστος της συνέχισης της διατήρησης του μη ασφαλούς αλγόριθμου DSA δεν αξίζει τον κόπο και η αφαίρεσή του θα ενθαρρύνει την κατάργηση της υποστήριξης DSA σε άλλες υλοποιήσεις SSH και κρυπτογραφικές βιβλιοθήκες.
Εκτός από τις αλλαγές που σχετίζονται με το DSA, η νέα έκδοση προσφέρει έναν νέο τύπο χρονικών ορίων σε ssh και sshd, που ενεργοποιούνται με τον καθορισμό της τιμής "global" στην οδηγία ChannelTimeout. Στη νέα λειτουργία, το OpenSSH παρακολουθεί όλα τα ανοιχτά κανάλια και τα κλείνει αμέσως εάν δεν υπάρχει κίνηση σε όλα για μια καθορισμένη χρονική περίοδο. Για παράδειγμα, όταν τόσο τα κανάλια περιόδου λειτουργίας SSH όσο και τα κανάλια ανακατεύθυνσης x11 είναι ανοιχτά σε έναν κεντρικό υπολογιστή ταυτόχρονα, η νέα λειτουργία επιτρέπει να κλείνουν ταυτόχρονα και τα δύο κανάλια εάν είναι ανενεργά, αντί να παρακολουθούνται χωριστά τα χρονικά όρια για κάθε κανάλι. Μεταξύ των αλλαγών, υπάρχει επίσης μια σημαντική βελτίωση στη δοκιμή συμβατότητας με το έργο PuTTY.
Πηγή: opennet.ru
