OpenSSH 9.7:n julkaisu on julkaistu SSH 2.0- ja SFTP-protokollia käyttävän asiakkaan ja palvelimen avoin toteutus. Ehdotettu versio on alkanut tehdä muutoksia ennakoidakseen DSA-pohjaisten avainten tulevaa vanhentumista. OpenSSH 9.7 tarjoaa mahdollisuuden poistaa DSA käytöstä käännöshetkellä, mutta oletuskoontiversio DSA-tuella säilyy toistaiseksi. Seuraavassa julkaisussa, joka on ajoitettu kesäkuulle, koontitila muutetaan oletusarvoisesti poistamaan DSA käytöstä, ja DSA-toteutus poistetaan koodikannasta vuoden 2025 alussa.
Oletuksena DSA-avaimien käyttö lopetettiin vuonna 2015, mutta DSA:ta tukeva koodi rakennettiin oletuksena ja mahdollisti DSA:n palauttamisen asetusten kautta. On huomionarvoista, että DSA-algoritmi on ainoa, jota tarvitaan SSHv2-protokollan toteuttamiseen. Tämä vaatimus lisättiin, koska SSHv2-protokollan luomisen ja hyväksymisen aikana kaikki vaihtoehtoiset algoritmit olivat patentin alaisia. Sittemmin tilanne on muuttunut, RSA:han liittyvät patentit ovat vanhentuneet, lisätty ECDSA-algoritmi, joka on huomattavasti suorituskyvyltään ja turvallisuudeltaan DSA:ta parempi, sekä EdDSA, joka on turvallisempi ja nopeampi kuin ECDSA.
Ainoa tekijä DSA-tuen jatkamisessa oli yhteensopivuuden säilyttäminen vanhojen laitteiden kanssa. Nykyisessä todellisuudessa epävarman DSA-algoritmin ylläpidon jatkamisesta aiheutuvat kustannukset eivät ole sen arvoisia, ja sen poistaminen rohkaisee DSA-tuen vanhenemiseen muissa SSH-toteutuksissa ja kryptografisissa kirjastoissa.
DSA:han liittyvien muutosten lisäksi uusi julkaisu tarjoaa uudentyyppiset aikakatkaisut ssh:ssä ja sshd:ssä, jotka otetaan käyttöön määrittämällä arvo "global" ChannelTimeout-direktiivissä. Uudessa tilassa OpenSSH valvoo kaikkia avoimia kanavia ja sulkee ne kerralla, jos niillä kaikilla ei ole liikennettä tietyn ajan. Esimerkiksi kun sekä SSH-istunto- että x11-uudelleenohjauskanavat ovat avoinna isännälle samanaikaisesti, uusi tila sallii kummankin kanavan sulkemisen kerralla, jos ne ovat passiivisia, sen sijaan, että kunkin kanavan aikakatkaisuja seurattaisiin erikseen. Muutosten joukossa on myös merkittävä parannus yhteensopivuustestauksessa PuTTY-projektin kanssa.
Lähde: opennet.ru