В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности избавления от устаревших криптоалгоритмов

25 марта 2015 года

Wikinews-logo-ru.svg

Разработчики OpenSSH сообщили о переходе к сборке OpenSSH с отключенной по умолчанию поддержкой протокола SSH-1. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для использования. Кроме того, работа OpenSSH без OpenSSL возможна только при использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.

Кроме того, можно отметить заметку Арьяна ван де Вена (Arjan van de Ven), известного разработчика Linux из компании Intel, в которой поднимается тема трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования. Эксперимент по полному изъятию алгоритмов RC4 и DES на этапе сборки привёл к неудаче. Во-первых, попытка сборки OpenSSL без кода RC4 и DES привела к ошибке компиляции, а во-вторых, в дистрибутиве оказалось достаточное число пакетов, которые требуют RC4 и DES в качестве зависимостей. Как правило, поддержка устаревших алгоритмов в пакетах присутствует в качестве опции и отключаема, но это требует большой рутинной работы по пересмотру параметров сборки пакетов и тестированию возможных регрессий.

В настоящее время в дистрибутивах продолжают поддерживаться различные ненадёжные алгоритмы шифрования, которые становятся своего рода миной замедленного действия. Стопроцентную уверенность в том, что эти алгоритмы не будут задействованы для атак, манипулирующих откатом к менее надёжным методам шифрования, может дать их полное отключение на этапе сборки. Иначе будут продолжать всплывать атаки, подобные FREAK, в которой смена шифра RSA на RSA_EXPORT позволяет выполнить дешифровку трафика.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности избавления от устаревших криптоалгоритмов», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности избавления от устаревших криптоалгоритмов