Se ha publicado el lanzamiento de OpenSSH 9.7, una implementación abierta de cliente y servidor para trabajar bajo los protocolos SSH 2.0 y SFTP. La versión propuesta ha comenzado a realizar cambios para anticipar la futura obsolescencia de las claves basadas en DSA. OpenSSH 9.7 proporciona una opción para deshabilitar DSA en tiempo de compilación, pero la compilación predeterminada con soporte DSA se conserva por ahora. En la próxima versión, programada para junio, el modo de compilación se cambiará para deshabilitar DSA de forma predeterminada y la implementación de DSA se eliminará del código base a principios de 2025.
De forma predeterminada, el uso de claves DSA se suspendió en 2015, pero el código para admitir DSA se creó de manera predeterminada e hizo posible devolver DSA a través de la configuración. Cabe destacar que el algoritmo DSA es el único necesario para su implementación en el protocolo SSHv2. Este requisito se agregó porque en el momento de la creación y aprobación del protocolo SSHv2, todos los algoritmos alternativos estaban sujetos a patentes. Desde entonces, la situación ha cambiado, las patentes asociadas con RSA han expirado, se ha agregado el algoritmo ECDSA, que es significativamente superior a DSA en rendimiento y seguridad, así como EdDSA, que es más seguro y rápido que ECDSA.
El único factor para continuar con el soporte de DSA fue mantener la compatibilidad con dispositivos heredados. En la realidad actual, los costos de seguir manteniendo el inseguro algoritmo DSA no valen la pena, y su eliminación fomentará la desaprobación del soporte DSA en otras implementaciones SSH y bibliotecas criptográficas.
Además de los cambios relacionados con DSA, la nueva versión ofrece un nuevo tipo de tiempos de espera en ssh y sshd, que se habilitan especificando el valor "global" en la directiva ChannelTimeout. En el nuevo modo, OpenSSH monitorea todos los canales abiertos y los cierra a la vez si no hay tráfico en todos ellos durante un período de tiempo específico. Por ejemplo, cuando tanto la sesión SSH como los canales de redirección x11 están abiertos para un host al mismo tiempo, el nuevo modo permite cerrar ambos canales a la vez si están inactivos, en lugar de realizar un seguimiento separado de los tiempos de espera para cada canal. Entre los cambios, también hay una mejora significativa en las pruebas de compatibilidad con el proyecto PuTTY.
Fuente: opennet.ru