OpenSSH 9.7 版本已經發布,這是使用 SSH 2.0 和 SFTP 協定工作的客戶端和伺服器的開放實作。提議的版本已開始進行更改,以預測未來基於 DSA 的密鑰的棄用。 OpenSSH 9.7 提供了在編譯時停用 DSA 的選項,但目前保留了支援 DSA 的預設版本。在計劃於 2025 月發布的下一個版本中,建置模式將變更為預設為停用 DSA,並且 DSA 實作將於 XNUMX 年初從程式碼庫中刪除。
預設情況下,DSA 金鑰的使用早在 2015 年就已停止,但預設建立了支援 DSA 的程式碼,並且可以透過設定返回 DSA。值得注意的是,DSA 演算法是 SSHv2 協定中實現所需的唯一演算法。增加這項要求是因為在創建和批准 SSHv2 協定時,所有替代演算法都受專利保護。此後情況發生了變化,與RSA相關的專利已經到期,添加了ECDSA演算法,該演算法在性能和安全性上明顯優於DSA,以及EdDSA,它比ECDSA更安全、更快。
持續支援 DSA 的唯一因素是保持與舊設備的兼容性。在當前的現實中,繼續維護不安全的 DSA 演算法的成本是不值得的,並且刪除它將鼓勵其他 SSH 實作和加密庫中棄用 DSA 支援。
除了與 DSA 相關的變更之外,新版本還在 ssh 和 sshd 中提供了一種新型逾時,可透過在 ChannelTimeout 指令中指定值「global」來啟用。在新模式下,OpenSSH 會監視所有開啟的通道,如果在指定時間內所有通道都沒有流量,則立即關閉它們。例如,當 SSH 會話和 x11 重定向通道同時向主機開啟時,新模式允許兩個通道在不活動時立即關閉,而不是單獨追蹤每個通道的逾時。其中,與 PuTTY 專案的兼容性測試也有顯著改進。
來源: opennet.ru