Bolo zverejnené vydanie OpenSSH 9.7, otvorená implementácia klienta a servera pre prácu s protokolmi SSH 2.0 a SFTP. Navrhovaná verzia začala vykonávať zmeny, aby sa predvídalo budúce ukončenie podpory kľúčov založených na DSA. OpenSSH 9.7 poskytuje možnosť zakázať DSA v čase kompilácie, ale predvolená zostava s podporou DSA je zatiaľ zachovaná. V ďalšom vydaní, ktoré je naplánované na jún, bude režim zostavovania zmenený tak, aby predvolene zakázal DSA a implementácia DSA bude z kódovej základne odstránená začiatkom roka 2025.
V predvolenom nastavení bolo používanie kľúčov DSA prerušené už v roku 2015, ale kód na podporu DSA bol vytvorený predvolene a umožnil vrátiť DSA prostredníctvom nastavení. Je pozoruhodné, že algoritmus DSA je jediný potrebný na implementáciu v protokole SSHv2. Táto požiadavka bola pridaná, pretože v čase vytvorenia a schválenia protokolu SSHv2 boli všetky alternatívne algoritmy patentované. Odvtedy sa situácia zmenila, patenty spojené s RSA vypršali, bol pridaný algoritmus ECDSA, ktorý je výrazne lepší ako DSA vo výkone a bezpečnosti, ako aj EdDSA, ktorý je bezpečnejší a rýchlejší ako ECDSA.
Jediným faktorom pokračujúcej podpory DSA bolo zachovanie kompatibility so staršími zariadeniami. V súčasnej realite náklady na pokračovanie v udržiavaní nezabezpečeného algoritmu DSA nestoja za to a jeho odstránenie podporí ukončenie podpory DSA v iných implementáciách SSH a kryptografických knižniciach.
Okrem zmien súvisiacich s DSA ponúka nové vydanie nový typ časových limitov v ssh a sshd, ktoré sú povolené zadaním hodnoty „global“ v direktíve ChannelTimeout. V novom režime OpenSSH monitoruje všetky otvorené kanály a zatvorí ich naraz, ak na všetkých nie je po určitú dobu žiadna prevádzka. Napríklad, keď sú pre hostiteľa súčasne otvorené kanály relácie SSH aj presmerovania x11, nový režim umožňuje zatvoriť oba kanály naraz, ak sú neaktívne, namiesto samostatného sledovania časových limitov pre každý kanál. Medzi zmenami je aj výrazné zlepšenie testovania kompatibility s projektom PuTTY.
Zdroj: opennet.ru