OpenSSH, SSH protokolünü kullanarak bir ağ üzerinden şifreli iletişime izin veren bir dizi uygulamadır.
Yakın zamanda OpenSSH proje e-posta listeleri aracılığıyla duyuruldu. DSA algoritmasını temel alan anahtarlara yönelik desteği sonlandıracak bir plan önerdi.
Bundan bahsediliyor asıl sebep bu algoritmayı desteklemeyi bırakmanın nedeni şu anda DSA anahtarları yeterli düzeyde güvenlik sunmuyor, Özel anahtar için 160 bit sınırı ve güvenlik açısından kabaca 1 bit simetrik anahtara eşdeğer olan SHA80 kullanımı göz önüne alındığında.
DSA, Dijital İmza Algoritması anlamına gelir. Dijital imza ve doğrulama için kullanılır. Modüler üstel alma ve ayrık logaritma matematiksel kavramına dayanmaktadır. 1991 yılında Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilmiştir.
Dört işlemi içerir:
1. Anahtar Üretimi
2. Anahtar Dağıtımı
3. İmza
4. İmza Doğrulaması
OpenSSH'de bunu hatırlamalıyız DSA anahtarlarının varsayılan kullanımı 2015 yılında durdurulduBu algoritma SSHv2 protokolünde uygulama için gerekli olduğundan, bir seçenek olarak tutuldu. Bu ihtiyaç ortaya çıktı çünkü SSHv2 protokolü oluşturulduğunda ve onaylandığında tüm alternatif algoritmalar patentlere tabiydi. Ancak zamanla durum değişti: RSA ile ilgili patentlerin süresi doldu ve performans ve güvenlik açısından DSA'yı önemli ölçüde aşan ECDSA ve EdDSA gibi algoritmalar tanıtıldı.
SSHv2 protokolünde belirtildiği gibi DSA doğası gereği zayıftır:
160 bitlik özel anahtar ve SHA1 özetinin kullanımıyla sınırlıdır. Dır-dir
Tahmini güvenlik düzeyi <= 80 bit simetrik eşdeğerdir.OpenSSH, 2015'ten bu yana DSA anahtarlarını varsayılan olarak devre dışı bırakmıştır, ancak bunları isteğe bağlı destek olarak tutmuştur. DSA, SSHv2 RFC'lerinde uygulanması zorunlu olan tek algoritmadır; bunun temel nedeni, alternatif algoritmaların tasarlanıp belirlendiğinde patentli olmasıdır.
O zamandan beri dünya yoluna devam etti. RSA engelsizdir ve destekler
çünkü o her yerde mevcuttur. ECDSA, modp DSA'ya göre önemli performans ve güvenlik avantajları sunar ve EdDSA, yine her ikisine göre ek performans ve güvenlik iyileştirmelerinden daha iyi performans gösterir.
Mevcut durumu değerlendirdikten sonra; OpenSSH geliştiricileri güvenli olmayan DSA algoritmasının sürdürülmesiyle ilgili maliyetlerin artık haklı gösterilemeyeceği sonucuna varmışlardır. DSA'nın kaldırılması, diğer SSH uygulamalarının ve kriptografik kitaplıkların da DSA'yı desteklemeyi bırakması için bir teşvik olarak algılanıyor.
Buna ek olarak, DSA'nın koddan aşamalı olarak kaldırılmasına yönelik plan zaten yayınlandı Başlangıçta belirtildiği gibi, OpenSSH'nin desteği varsayılandan isteğe bağlıya geçti ve OpenSSH'nin Nisan sürümü alınan sapmayla birlikte DSA derlemesini korumayı planlıyor, ancak derleme sırasında DSA'yı devre dışı bırakma yeteneği sunacak.
Daha sonra Haziran sürümü için DSA, derleme sırasında varsayılan olarak devre dışı bırakılacak ve 2025'in başlarında kod tabanından kaldırılacak.
Bu, OpenSSH'yi RFC4253 ile uyumsuz hale getirmiyor mu?
Varsayılan olarak DSA desteği sunmayı bıraktığımız 2015 yılından bu yana olduğumuzdan hemen hemen daha fazlası değil.
* Neden bu değişikliği şimdi yapıyorsunuz? Neden önce/sonra değil?
DSA'nın varsayılan olarak devre dışı bırakılmasının üzerinden yeterince zaman geçtiğine inanıyoruz, bu da muhtemelen kullanıcıların büyük çoğunluğunun algoritmayı kullanmaktan kaçınmasına yol açmıştır. Ayrıca yakında kuantum sonrası imza algoritmasını keşfetmeye başlayacağız ve anahtar/imza kodunun genel boyutunun ve karmaşıklığının farkına varacağız.
Son olarak şunu belirtmekte fayda var hâlâ DSA desteğine ihtiyaç duyan kullanıcılar müşteri tarafında, OpenSSH'nin eski sürümlerinin alternatif yapılarını kullanma seçeneğine sahip olacak, Debian tarafından sağlanan "openssh-client-ssh1" paketi gibi. OpenSSH 7.5'i temel alan bu paket, altı yıl önce OpenSSH 1'da durdurulan SSHv7.6 protokolünü kullanarak SSH sunucularına bağlanmak için tasarlanmıştır.
sonunda sen varsan hakkında daha fazla bilgi edinmekle ilgilenen, Bu nedenle, ayrıntılara bakın izleyen bağlantı.