Izšla je OpenSSH 9.7, odprtokodna implementacija odjemalca in strežnika za SSH 2.0 in SFTP. Ta izdaja začne uvajati spremembe pred morebitno opustitvijo ključev, ki temeljijo na DSA. OpenSSH 9.7 ponuja možnost onemogočanja DSA med prevajanjem, vendar je privzeta gradnja s podporo za DSA še vedno na voljo. V naslednji izdaji, ki je predvidena za junij, bo način gradnje spremenjen tako, da bo DSA privzeto onemogočen, v začetku leta 2025 pa bo implementacija DSA odstranjena iz kodne baze.
Privzeta uporaba ključev DSA je bila ukinjena leta 2015, vendar je bila koda, ki je podpirala DSA, zgrajena privzeto in je omogočala vrnitev na DSA prek nastavitev. Omeniti velja, da je DSA edini obvezni algoritem v protokolu SSHv2. Ta zahteva je bila dodana, ker so bili v času ustvarjenja in odobritve protokola SSHv2 vsi alternativni algoritmi zaščiteni s patenti. Od takrat so se razmere spremenile: patenti, povezani z RSA, so potekli, dodan pa je bil algoritem ECDSA, ki bistveno prekaša DSA v zmogljivosti in varnosti, pa tudi EdDSA, ki je varnejši in hitrejši od ECDSA.
Edini razlog za nadaljnjo podporo za DSA je bil ohranjanje združljivosti s starejšimi napravami. V trenutnem okolju stroški nadaljnjega vzdrževanja nevarnega algoritma DSA niso upravičeni, njegova odstranitev pa bo spodbudila opustitev podpore za DSA v drugih implementacijah SSH in kriptografskih knjižnicah.
Poleg sprememb, povezanih z DSA, nova izdaja uvaja novo vrsto časovne omejitve v ssh in sshd, ki jo omogočimo z določitvijo vrednosti »global« v direktivi ChannelTimeout. V tem novem načinu OpenSSH spremlja vse odprte kanale in jih hkrati zapre, če v določenem časovnem obdobju na nobenem od njih ni bil prejet promet. Če ima na primer gostitelj odprta oba kanala za sejo SSH in posredovanje x11, novi način hkrati zapre oba kanala, če sta neaktivna, namesto da bi ločeno sledil časovnim omejitvam za vsak kanal. Spremembe vključujejo tudi pomembne izboljšave testiranja združljivosti s projektom PuTTY.
Vir: opennet.ru
