Rilis OpenSSH 9.7 telah diterbitkan, implementasi terbuka klien dan server untuk bekerja menggunakan protokol SSH 2.0 dan SFTP. Versi yang diusulkan telah mulai melakukan perubahan untuk mengantisipasi penghentian kunci berbasis DSA di masa mendatang. OpenSSH 9.7 menyediakan opsi untuk menonaktifkan DSA pada waktu kompilasi, tetapi versi default dengan dukungan DSA dipertahankan untuk saat ini. Pada rilis berikutnya, yang dijadwalkan pada bulan Juni, mode build akan diubah untuk menonaktifkan DSA secara default, dan implementasi DSA akan dihapus dari basis kode pada awal tahun 2025.
Secara default, penggunaan kunci DSA dihentikan pada tahun 2015, tetapi kode untuk mendukung DSA dibuat secara default dan memungkinkan untuk mengembalikan DSA melalui pengaturan. Perlu dicatat bahwa algoritma DSA adalah satu-satunya yang diperlukan untuk implementasi dalam protokol SSHv2. Persyaratan ini ditambahkan karena pada saat pembuatan dan persetujuan protokol SSHv2, semua algoritma alternatif harus dipatenkan. Sejak itu, situasinya telah berubah, paten yang terkait dengan RSA telah habis masa berlakunya, algoritma ECDSA telah ditambahkan, yang secara signifikan lebih unggul dari DSA dalam hal kinerja dan keamanan, serta EdDSA, yang lebih aman dan lebih cepat daripada ECDSA.
Satu-satunya faktor dalam melanjutkan dukungan DSA adalah menjaga kompatibilitas dengan perangkat lama. Pada kenyataan saat ini, biaya untuk terus memelihara algoritma DSA yang tidak aman tidak sepadan, dan penghapusannya akan mendorong penghentian dukungan DSA dalam implementasi SSH dan perpustakaan kriptografi lainnya.
Selain perubahan terkait DSA, rilis baru ini menawarkan jenis batas waktu baru di ssh dan sshd, diaktifkan dengan menentukan nilai βglobalβ dalam direktif ChannelTimeout. Dalam mode baru, OpenSSH memonitor semua saluran terbuka dan menutupnya sekaligus jika tidak ada lalu lintas di semuanya selama jangka waktu tertentu. Misalnya, ketika sesi SSH dan saluran pengalihan x11 terbuka untuk host pada saat yang sama, mode baru memungkinkan kedua saluran ditutup sekaligus jika tidak aktif, alih-alih melacak waktu tunggu secara terpisah untuk setiap saluran. Di antara perubahan tersebut, terdapat juga peningkatan signifikan dalam pengujian kompatibilitas dengan proyek PuTTY.
Sumber: opennet.ru