Bản phát hành OpenSSH 9.7 đã được xuất bản, một triển khai mở của máy khách và máy chủ để hoạt động bằng giao thức SSH 2.0 và SFTP. Phiên bản được đề xuất đã bắt đầu thực hiện các thay đổi nhằm dự đoán khả năng các khóa dựa trên DSA sẽ không được dùng nữa trong tương lai. OpenSSH 9.7 cung cấp tùy chọn tắt DSA tại thời điểm biên dịch, nhưng bản dựng mặc định có hỗ trợ DSA hiện vẫn được giữ lại. Trong bản phát hành tiếp theo, dự kiến vào tháng 2025, chế độ xây dựng sẽ được thay đổi để tắt DSA theo mặc định và việc triển khai DSA sẽ bị xóa khỏi cơ sở mã vào đầu năm XNUMX.
Theo mặc định, việc sử dụng khóa DSA đã bị ngừng vào năm 2015, nhưng mã hỗ trợ DSA đã được xây dựng theo mặc định và có thể trả về DSA thông qua cài đặt. Đáng chú ý là thuật toán DSA là thuật toán duy nhất cần thiết để triển khai trong giao thức SSHv2. Yêu cầu này được thêm vào vì tại thời điểm tạo và phê duyệt giao thức SSHv2, tất cả các thuật toán thay thế đều phải được cấp bằng sáng chế. Kể từ đó, tình hình đã thay đổi, các bằng sáng chế liên quan đến RSA đã hết hạn, thuật toán ECDSA đã được thêm vào, vượt trội hơn đáng kể so với DSA về hiệu suất và bảo mật, cũng như EdDSA, an toàn hơn và nhanh hơn ECDSA.
Yếu tố duy nhất để tiếp tục hỗ trợ DSA là duy trì khả năng tương thích với các thiết bị cũ. Trong thực tế hiện tại, chi phí để tiếp tục duy trì thuật toán DSA không an toàn là không đáng và việc loại bỏ nó sẽ khuyến khích việc ngừng hỗ trợ DSA trong các thư viện mật mã và triển khai SSH khác.
Ngoài những thay đổi liên quan đến DSA, bản phát hành mới còn cung cấp một loại thời gian chờ mới trong ssh và sshd, được kích hoạt bằng cách chỉ định giá trị “toàn cầu” trong chỉ thị ChannelTimeout. Ở chế độ mới, OpenSSH giám sát tất cả các kênh đang mở và đóng chúng cùng một lúc nếu không có lưu lượng truy cập nào trên tất cả các kênh đó trong một khoảng thời gian nhất định. Ví dụ: khi cả hai kênh phiên SSH và kênh chuyển hướng x11 đều mở cho máy chủ cùng lúc, chế độ mới cho phép đóng cả hai kênh cùng một lúc nếu chúng không hoạt động, thay vì theo dõi thời gian chờ riêng cho từng kênh. Trong số những thay đổi, còn có sự cải thiện đáng kể trong việc thử nghiệm khả năng tương thích với dự án PuTTY.
Nguồn: opennet.ru