È stata pubblicata la versione di OpenSSH 9.7, un'implementazione aperta di client e server per lavorare utilizzando i protocolli SSH 2.0 e SFTP. La versione proposta ha iniziato ad apportare modifiche per anticipare la futura deprecazione delle chiavi basate su DSA. OpenSSH 9.7 fornisce un'opzione per disabilitare DSA in fase di compilazione, ma per ora viene mantenuta la build predefinita con supporto DSA. Nella prossima versione, prevista per giugno, la modalità di compilazione verrà modificata per disabilitare DSA per impostazione predefinita e l'implementazione DSA verrà rimossa dalla codebase all'inizio del 2025.
Per impostazione predefinita, l'uso delle chiavi DSA è stato interrotto nel 2015, ma il codice per supportare DSA è stato creato per impostazione predefinita e ha reso possibile restituire DSA tramite le impostazioni. È interessante notare che l'algoritmo DSA è l'unico richiesto per l'implementazione nel protocollo SSHv2. Questo requisito è stato aggiunto perché al momento della creazione e dell’approvazione del protocollo SSHv2 tutti gli algoritmi alternativi erano soggetti a brevetti. Da allora la situazione è cambiata, i brevetti associati a RSA sono scaduti, è stato aggiunto l'algoritmo ECDSA, che è significativamente superiore a DSA in termini di prestazioni e sicurezza, nonché EdDSA, che è più sicuro e veloce di ECDSA.
L'unico fattore per continuare a supportare DSA era mantenere la compatibilità con i dispositivi legacy. Nella realtà attuale, i costi sostenuti per continuare a mantenere l’algoritmo DSA non sicuro non valgono la pena, e la sua rimozione incoraggerà la deprecazione del supporto DSA in altre implementazioni SSH e librerie crittografiche.
Oltre alle modifiche legate al DSA, la nuova release offre una nuova tipologia di timeout in ssh e sshd, abilitabili specificando il valore “global” nella direttiva ChannelTimeout. Nella nuova modalità, OpenSSH monitora tutti i canali aperti e li chiude immediatamente se non c'è traffico su tutti per un periodo di tempo specificato. Ad esempio, quando sia la sessione SSH che i canali di reindirizzamento x11 sono aperti contemporaneamente a un host, la nuova modalità consente di chiudere entrambi i canali contemporaneamente se sono inattivi, invece di monitorare separatamente i timeout per ciascun canale. Tra le novità c'è anche un notevole miglioramento nei test di compatibilità con il progetto PuTTY.
Fonte: opennet.ru