OpenSSH 9.7 versiyasi e'lon qilindi, SSH 2.0 va SFTP protokollaridan foydalangan holda ishlash uchun mijoz va serverning ochiq ilovasi. Taklif etilayotgan versiya DSA-ga asoslangan kalitlarning kelajakda eskirishini kutish uchun o'zgartirishlar kiritishni boshladi. OpenSSH 9.7 kompilyatsiya vaqtida DSA-ni o'chirish imkoniyatini beradi, ammo DSA-ni qo'llab-quvvatlaydigan standart tuzilish hozircha saqlanib qolgan. Iyun oyiga rejalashtirilgan navbatdagi relizda qurish rejimi sukut bo'yicha DSA-ni o'chirib qo'yish uchun o'zgartiriladi va DSA ilovasi 2025 yil boshida kodlar bazasidan o'chiriladi.
Odatiy bo'lib, DSA kalitlaridan foydalanish 2015 yilda to'xtatilgan, ammo DSA-ni qo'llab-quvvatlash uchun kod sukut bo'yicha yaratilgan va sozlamalar orqali DSA-ni qaytarish imkonini bergan. Shunisi e'tiborga loyiqki, DSA algoritmi SSHv2 protokolida amalga oshirish uchun zarur bo'lgan yagona algoritmdir. Bu talab qo'shildi, chunki SSHv2 protokolini yaratish va tasdiqlash vaqtida barcha muqobil algoritmlar patentlarga bo'ysungan. O'shandan beri vaziyat o'zgardi, RSA bilan bog'liq patentlarning amal qilish muddati tugadi, ECDSA algoritmi qo'shildi, bu DSA dan ishlash va xavfsizlik bo'yicha sezilarli darajada ustundir, shuningdek, ECDSA'dan xavfsizroq va tezroq bo'lgan EdDSA.
DSA qo'llab-quvvatlashni davom ettirishning yagona omili eski qurilmalar bilan moslikni saqlash edi. Mavjud haqiqatda, xavfsiz bo'lmagan DSA algoritmini saqlashni davom ettirish xarajatlari bunga loyiq emas va uni olib tashlash boshqa SSH ilovalari va kriptografik kutubxonalarda DSA qo'llab-quvvatlashini bekor qilishga yordam beradi.
DSA bilan bog'liq o'zgarishlarga qo'shimcha ravishda, yangi nashr ChannelTimeout direktivasida "global" qiymatini ko'rsatish orqali yoqilgan ssh va sshd-da yangi turdagi kutish vaqtlarini taklif qiladi. Yangi rejimda OpenSSH barcha ochiq kanallarni kuzatib boradi va agar ma'lum vaqt davomida ularning barchasida trafik bo'lmasa, ularni birdaniga yopadi. Misol uchun, SSH seansi va x11 qayta yo'naltirish kanallari bir vaqtning o'zida xost uchun ochiq bo'lsa, yangi rejim har bir kanal uchun alohida kutish vaqtini kuzatish o'rniga, agar ular faol bo'lmasa, ikkala kanalni birdaniga yopish imkonini beradi. O'zgarishlar orasida PuTTY loyihasi bilan muvofiqlik testida ham sezilarli yaxshilanish bor.
Manba: opennet.ru