A fost publicată lansarea OpenSSH 9.7, o implementare deschisă a unui client și server pentru lucrul folosind protocoalele SSH 2.0 și SFTP. Versiunea propusă a început să facă modificări pentru a anticipa deprecierea viitoare a cheilor bazate pe DSA. OpenSSH 9.7 oferă o opțiune pentru a dezactiva DSA în timpul compilării, dar versiunea implicită cu suport DSA este păstrată pentru moment. În următoarea ediție, programată pentru iunie, modul de compilare va fi schimbat pentru a dezactiva DSA în mod implicit, iar implementarea DSA va fi eliminată din baza de cod la începutul anului 2025.
În mod implicit, utilizarea cheilor DSA a fost întreruptă în 2015, dar codul pentru a sprijini DSA a fost construit implicit și a făcut posibilă returnarea DSA prin setări. Este de remarcat faptul că algoritmul DSA este singurul necesar pentru implementarea în protocolul SSHv2. Această cerință a fost adăugată deoarece la momentul creării și aprobării protocolului SSHv2, toți algoritmii alternativi erau supuși brevetelor. De atunci, situația s-a schimbat, brevetele asociate cu RSA au expirat, s-a adăugat algoritmul ECDSA, care este semnificativ superior DSA în performanță și securitate, precum și EdDSA, care este mai sigur și mai rapid decât ECDSA.
Singurul factor în continuarea suportului DSA a fost menținerea compatibilității cu dispozitivele vechi. În realitatea actuală, costurile menținerii în continuare a algoritmului DSA nesigur nu merită, iar eliminarea acestuia va încuraja renunțarea la suportul DSA în alte implementări SSH și biblioteci criptografice.
Pe lângă modificările legate de DSA, noua versiune oferă un nou tip de timeout-uri în ssh și sshd, activate prin specificarea valorii „global” în directiva ChannelTimeout. În noul mod, OpenSSH monitorizează toate canalele deschise și le închide deodată dacă nu există trafic pe toate pentru o anumită perioadă de timp. De exemplu, când atât canalele de sesiune SSH, cât și canalele de redirecționare x11 sunt deschise pentru o gazdă în același timp, noul mod permite ca ambele canale să fie închise simultan dacă sunt inactive, în loc să urmărească separat timeout-urile pentru fiecare canal. Printre modificări, există și o îmbunătățire semnificativă a testării de compatibilitate cu proiectul PuTTY.
Sursa: opennet.ru