OpenSSH 9.7 版本已经发布,这是使用 SSH 2.0 和 SFTP 协议工作的客户端和服务器的开放实现。提议的版本开始进行更改,以预测未来基于 DSA 的密钥的弃用。 OpenSSH 9.7 提供了在编译时禁用 DSA 的选项,但目前保留了支持 DSA 的默认版本。在计划于 2025 月发布的下一个版本中,构建模式将更改为默认禁用 DSA,并且 DSA 实现将于 XNUMX 年初从代码库中删除。
默认情况下,DSA 密钥的使用早在 2015 年就已停止,但默认情况下构建了支持 DSA 的代码,并且可以通过设置返回 DSA。值得注意的是,DSA 算法是 SSHv2 协议中实现所需的唯一算法。增加这一要求是因为在创建和批准 SSHv2 协议时,所有替代算法都受专利保护。此后情况发生了变化,与RSA相关的专利已经到期,添加了ECDSA算法,该算法在性能和安全性上明显优于DSA,以及EdDSA,它比ECDSA更安全、更快。
持续支持 DSA 的唯一因素是保持与旧设备的兼容性。在当前的现实中,继续维护不安全的 DSA 算法的成本是不值得的,并且删除它将鼓励其他 SSH 实现和加密库中弃用 DSA 支持。
除了与 DSA 相关的更改之外,新版本还在 ssh 和 sshd 中提供了一种新型超时,可通过在 ChannelTimeout 指令中指定值“global”来启用。在新模式下,OpenSSH 会监视所有打开的通道,如果在指定时间段内所有通道都没有流量,则立即关闭它们。例如,当 SSH 会话和 x11 重定向通道同时向主机打开时,新模式允许两个通道在不活动时立即关闭,而不是单独跟踪每个通道的超时。其中,与 PuTTY 项目的兼容性测试也有显着改进。
来源: opennet.ru