A OpenSSH proposen posar fi al suport de claus DSA

Fa poc es va donar a conèixer, mitjançant les llistes de correu del projecte OpenSSH, la proposta d‟un pla per finalitzar el suport de claus basades en l‟algorisme DSA.

S'esmenta que el principal motiu de deixar de suportar aquest algorisme, és degut a que actualment les claus DSA no ofereixen un nivell adequat de seguretat, atès que el seu límit de 160 bits per a la clau privada i lús de SHA1, que, en termes de seguretat, equival aproximadament a una clau simètrica de 80 bits.

Cal recordar que a OpenSSH l'ús predeterminat de claus DSA va ser suspès el 2015, es va mantenir com a opció, ja que aquest algorisme era necessari per a la implementació en el protocol SSHv2. Aquesta necessitat sorgia perquè, en el moment en què es va crear i aprovar el protocol SSHv2, tots els algorismes alternatius estaven subjectes a patents. Amb el temps, però, la situació ha canviat: les patents relacionades amb RSA han expirat, i s'han introduït algorismes com ECDSA i EdDSA, que superen significativament DSA en rendiment i seguretat.

DSA, com s'especifica al protocol SSHv2, és inherentment feble:
limitat a una clau privada de 160 bits ia lús del resum SHA1. És
El nivell de seguretat estimat és <= equivalent simètric de 80 bits.

OpenSSH ha desactivat les claus DSA per defecte des del 2015, però les ha conservat com a suport opcional per a ells. DSA és l'únic algoritme d'implementació obligatòria als RFC SSHv2, principalment perquè els algoritmes alternatius estaven gravats per patents quan es va dissenyar i especificar.

Des de llavors, el món ha seguit endavant. RSA no té càrregues i admet
perquè és omnipresent. ECDSA ofereix un rendiment significatiu i beneficis de seguretat sobre modp DSA i EdDSA supera el rendiment addicional i millores de seguretat sobre tots dos novament.

Després d'avaluar la situació actual, els desenvolupadors d'OpenSSH han conclòs que els costos associats amb el manteniment de l'algorisme insegur DSA ja no són justificables. L'eliminació de DSA es percep com un estímul perquè altres implementacions SSH i biblioteques criptogràfiques també deixin de donar suport a DSA.

A més d'això, ja s'ha publicat el pla per a l'eliminació gradual de DSA del codi d'OpenSSH, doncs de manera inicial, com ja es va esmentar a l'inici, el suport pas de pretederminat a opcional i amb la desviació presa la versió d'abril d'OpenSSH planeja conservar la compilació DSA, però oferirà la capacitat de desactivar DSA durant la compilació.

Posteriorment, per a la versió de juny, DSA es desactivarà per defecte durant la compilació, i s'eliminarà del codi base a principis de 2025.

Això no fa que OpenSSH no sigui compatible amb RFC4253?

Pràcticament no més del que hem estat des del 2015, quan deixem d'oferir el suport de DSA per defecte.

* Per què fer aquest canvi ara? Per què no abans/després?

Creiem que ha passat prou temps des que DSA es va desactivar per defecte, cosa que probablement ha portat a l'abstinència de l'ús de l'algorisme per part de la majoria dels usuaris aclaparadora. També és probable que aviat comencem a explorar un algorisme de signatura post-quàntic i siguem conscients de la mida i la complexitat general del codi de clau/signatura.

Finalment, s'esmenta que per aquells usuaris que encara necessitin suport DSA del costat del client, tindran l'opció de fer servir compilacions alternatives de versions anteriors d'OpenSSH, com el paquet subministrat per Debian «openssh-client-ssh1». Aquest paquet, basat en OpenSSH 7.5, està dissenyat per connectar-se a servidors SSH utilitzant el protocol SSHv1, que va ser descontinuat a OpenSSH 7.6 fa sis anys.

Finalment si estàs interessat a poder conèixer més sobre això, doncs consultar els detalls al Següent enllaç.