SSH 9.7 および SFTP プロトコルを操作するためのクライアントとサーバーのオープン ソース実装である OpenSSH 2.0 がリリースされました。提案されたバージョンでは、DSA ベースのキーが最終的に廃止される前に変更が行われ始めました。 OpenSSH 9.7 では、コンパイル時に DSA を無効にするオプションが提供されていますが、DSA サポートを含むデフォルトのビルドは引き続き存在します。 2025 月に予定されている次のリリースでは、ビルド モードが変更され、DSA がデフォルトで無効になり、XNUMX 年初頭に DSA 実装がコードベースから削除されます。
DSA キーのデフォルトの使用は 2015 年に廃止されましたが、DSA をサポートするコードがデフォルトで構築され、設定を介して DSA を再度有効にできるようになりました。 SSHv2 プロトコルで実装する必要があるのは DSA アルゴリズムだけであることは注目に値します。この要件が追加されたのは、SSHv2 プロトコルが作成および承認された時点では、すべての代替アルゴリズムが特許で保護されていたためです。その後、状況は変わり、RSA関連の特許は失効し、DSAよりも性能とセキュリティ面で大幅に優れたECDSAアルゴリズムや、ECDSAよりも安全で高速なEdDSAが追加されました。
DSA のサポートを継続する唯一の理由は、従来のデバイスとの互換性を維持するためです。現状では、安全でない DSA アルゴリズムのサポートを継続するコストは正当化されず、その削除は他の SSH 実装および暗号化ライブラリでの DSA サポートの削除を促進することになります。
DSA 関連の変更に加えて、新しいリリースでは、ChannelTimeout ディレクティブで「グローバル」値を指定することによって有効になる、ssh および sshd の新しいタイプのタイムアウトが導入されています。新しいモードでは、OpenSSH は開いているすべてのチャネルを監視し、指定された期間にすべてのチャネルでトラフィックがなかった場合は、すべてのチャネルを一度に閉じます。たとえば、SSH と x11 転送チャネルの両方がホストに対して開かれている場合、新しいモードでは、チャネルごとにタイムアウトを個別に追跡するのではなく、両方のチャネルが非アクティブな場合は一度に閉じることができます。この変更には、PuTTY プロジェクトとの互換性テストの大幅な改善も含まれています。
出所: オープンネット.ru
