Keluaran OpenSSH 9.7 telah diterbitkan, pelaksanaan terbuka klien dan pelayan untuk bekerja menggunakan protokol SSH 2.0 dan SFTP. Versi yang dicadangkan telah mula membuat perubahan untuk menjangka penamatan kunci berasaskan DSA pada masa hadapan. OpenSSH 9.7 menyediakan pilihan untuk melumpuhkan DSA pada masa penyusunan, tetapi binaan lalai dengan sokongan DSA dikekalkan buat masa ini. Dalam keluaran seterusnya, yang dijadualkan pada bulan Jun, mod binaan akan ditukar kepada melumpuhkan DSA secara lalai dan pelaksanaan DSA akan dialih keluar daripada pangkalan kod pada awal 2025.
Secara lalai, penggunaan kunci DSA telah dihentikan pada tahun 2015, tetapi kod untuk menyokong DSA telah dibina secara lalai dan memungkinkan untuk mengembalikan DSA melalui tetapan. Perlu diperhatikan bahawa algoritma DSA adalah satu-satunya yang diperlukan untuk pelaksanaan dalam protokol SSHv2. Keperluan ini telah ditambah kerana pada masa penciptaan dan kelulusan protokol SSHv2, semua algoritma alternatif tertakluk kepada paten. Sejak itu, keadaan telah berubah, paten yang dikaitkan dengan RSA telah tamat tempoh, algoritma ECDSA telah ditambah, yang jauh lebih unggul daripada DSA dalam prestasi dan keselamatan, serta EdDSA, yang lebih selamat dan lebih cepat daripada ECDSA.
Satu-satunya faktor dalam meneruskan sokongan DSA ialah mengekalkan keserasian dengan peranti lama. Dalam realiti semasa, kos untuk terus mengekalkan algoritma DSA yang tidak selamat adalah tidak berbaloi, dan penyingkirannya akan menggalakkan penamatan sokongan DSA dalam pelaksanaan SSH dan perpustakaan kriptografi yang lain.
Sebagai tambahan kepada perubahan yang berkaitan dengan DSA, keluaran baharu menawarkan jenis tamat masa baharu dalam ssh dan sshd, didayakan dengan menentukan nilai "global" dalam arahan ChannelTimeout. Dalam mod baharu, OpenSSH memantau semua saluran terbuka dan menutupnya sekali gus jika tiada trafik pada kesemuanya untuk tempoh masa tertentu. Contohnya, apabila kedua-dua sesi SSH dan saluran ubah hala x11 dibuka kepada hos pada masa yang sama, mod baharu membenarkan kedua-dua saluran ditutup sekali gus jika ia tidak aktif, bukannya menjejak tamat masa secara berasingan untuk setiap saluran. Di antara perubahan itu, terdapat juga peningkatan yang ketara dalam ujian keserasian dengan projek PuTTY.
Sumber: opennet.ru