The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от opennews (??) on 25-Мрт-15, 09:05 
Разработчики OpenSSH сообщили (http://marc.info/?l=openbsd-tech&m=142716088814469&w=2) о переходе к сборке OpenSSH с отключенной по умолчанию поддержкой протокола SSH-1. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для использования. Кроме того, работа OpenSSH без OpenSSL возможна только  при использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.


Кроме того, можно отметить заметку (https://plus.google.com/+ArjanvandeVen/posts/VAK1SRHjTZm) Арьяна ван де Вена (Arjan van de Ven), известного разработчика Linux из компании Intel, в которой поднимается тема трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования. Эксперимент по полному изъятию алгоритмов RC4 и DES на этапе сборки привёл к неудаче. Во первых, попытка сборки OpenSSL без кода RC4 и DES привела к ошибки компиляции, а во вторых, в дистрибутиве оказалось достаточное число пакетов, которые требуют  RC4 и DES в качестве зависимостей. Как правило, поддержка устаревших алгоритмов в пакетах присутствует в качестве опции и отключаема, но это требует большой рутинной работы по пересмотру параметров сборки пакетов и тестированию возможных регрессий.

В настоящее время в дистрибутивах продолжают поддерживаться различные ненадёжные алгоритмы шифрования, которые становятся своего рода миной замедленного действия. Стопроцентную уверенность в том, что эти алгоритмы не будут задействованы для атак, манипулирующих откатом к менее надёжным методам шифрования, может дать их полное отключение на этапе сборки. Иначе будут продолжать всплывать атаки, подобные FREAK (http://www.opennet.ru/opennews/art.shtml?num=4178), в которой смена шифра RSA на RSA_EXPORT позволяет выполнить дешифровку трафика.

URL: http://undeadly.org/cgi?action=article&sid=20150324200217
Новость: http://www.opennet.ru/opennews/art.shtml?num=41907

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Аноним (??) on 25-Мрт-15, 09:33 
Кстати, cebka презентацию рассказывал https://events.yandex.ru/lib/talks/2693/, там тоже касался libressl и сборки софта без openssl (!DES). Довольно интересно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +1 +/
Сообщение от Аноним (??) on 25-Мрт-15, 09:35 
запятая все испортила. https://events.yandex.ru/lib/talks/2693/
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  –1 +/
Сообщение от Аноним (??) on 25-Мрт-15, 16:57 
Скорее было бы уместнее рассматривать сборку софта без использования OpenSSL. До опеночников наконец доползло каким г-ном OpenSSL является и насколько там "компетентные" разработчики. А пользоваться в 2015 году DES - это примерно как рассекать в потоке на автостраде используя старую клячу.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

31. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Аноним (??) on 25-Мрт-15, 18:59 
> Скорее было бы уместнее рассматривать сборку софта без использования OpenSSL. До опеночников
> наконец доползло каким г-ном OpenSSL является и насколько там "компетентные" разработчики.

Знали-то и раньше. Но форкать не решались, это ведь не libvasyapupkin, а весьма распространённая библиотека.  Обходились собственными патчами, далеко не все из которых принимались в апстрим. Сейчас LibreSSL занимается как минимум четверо человек, плюс патчи идут со стороны. Если бы форк сделали раньше, не факт, что заинтересованности/поддержки со стороны сообщества хватило бы.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Аноним (??) on 25-Мрт-15, 22:04 
> весьма распространённая библиотека.

Не очень понимаю эту манию наедаться г-ном досыта. Грабельная либа под проблемной лицензией, с авторами которые вообще не криптографы ни разу. Зачем народ в такое вляпывается - загадка природы.

> Сейчас LibreSSL занимается как минимум четверо человек,

C учетом сложности SSL/TLS, завалов легаси, дурного апи и уймы останков для совместимости с допотопным шитом, команда из 4 человек на такой проект - это примерно как строительство космодрома аж четырьмя таджиками. Да и вообще, все кто в это вляпался, как и вообще в TLS - будут обречены на постоянный гемоppoй.

> факт, что заинтересованности/поддержки со стороны сообщества хватило бы.

Самое разумное что сделали в openssh - сборку беэ крапа с названием "OpenSSL" вообще.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

39. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +1 +/
Сообщение от Ivan_83 on 25-Мрт-15, 22:36 
>> Сейчас LibreSSL занимается как минимум четверо человек,
> C учетом сложности SSL/TLS, завалов легаси, дурного апи и уймы останков для
> совместимости с допотопным шитом, команда из 4 человек на такой проект
> - это примерно как строительство космодрома аж четырьмя таджиками. Да и
> вообще, все кто в это вляпался, как и вообще в TLS
> - будут обречены на постоянный гемоppoй.

Ты преувеличиваешь сложность.
Это инженерная задача: цель есть, нужно придумать и сделать.
Я самолично за 5 месяцев неспешных разбирательств въехал с нуля в ECDSA и запилил код с нуля. Мат образования у меня нет, и этот предмет мне легко не давался. Код выдаёт во всех тестах ровно то что и должен.
Им же даже с нуля пилить не надо, и багаж знаний у них есть.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

41. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Аноним (??) on 26-Мрт-15, 03:15 
>> весьма распространённая библиотека.
> Не очень понимаю эту манию наедаться г-ном досыта. Грабельная либа под проблемной
> лицензией, с авторами которые вообще не криптографы ни разу. Зачем народ
> в такое вляпывается - загадка природы.

И всё же что-то мешало остальным (включая комментаторов на Опеннете) сделать лучше...

>> Сейчас LibreSSL занимается как минимум четверо человек,
> C учетом сложности SSL/TLS, завалов легаси, дурного апи и уймы останков для
> совместимости с допотопным шитом, команда из 4 человек на такой проект
> - это примерно как строительство космодрома аж четырьмя таджиками. Да и
> вообще, все кто в это вляпался, как и вообще в TLS
> - будут обречены на постоянный гемоppoй.

... но тут вы противоречите сами себе. Если задача сложная - что удивительного в том, что используется хоть какое-то решение, ведь альтернатива - никакого?

>> факт, что заинтересованности/поддержки со стороны сообщества хватило бы.
> Самое разумное что сделали в openssh - сборку беэ крапа с названием
> "OpenSSL" вообще.

Де-факто она там была уже несколько лет, но в portable-версии её не включали во избежание проблем в даунстриме. Как ни странно, некоторые открытые проекты без большого коммерческого брата за спиной действительно об этом думают. :)

И, кстати, это отвечает ещё и на исходный вопрос - почему OpenSSL? Да потому что кардинально менять API никто не решался. А без этого - конечная цель (написание вменяемой криптолибы под доступной для всех лицензией) была не достижима. Кто бы взялся за переделывание тысяч проектов, использующих OpenSSL? Не вы и не я точно.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

5. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  –3 +/
Сообщение от Нанобот (ok) on 25-Мрт-15, 10:10 
>Кроме того, можно отметить заметку Арьяна ван де Вена

Кроме того, можно отметить никак не связанную с этой новостью заметку Арьяна ван де Вена

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +2 +/
Сообщение от YetAnotherOnanym (ok) on 25-Мрт-15, 10:53 
> Кроме того, можно отметить напрямую связанную с этой новостью заметку Арьяна ван де Вена

Не благодари.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Сергей (??) on 25-Мрт-15, 10:14 
Может конечно и надо из SSh удалить код, но может проще протокол 1 сделать не активным по дефолту, а так я на протяжении как только появился ghjnjrjk 2 его только и включаю...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от mike_t on 25-Мрт-15, 11:18 
это касается только сервера или клиента тоже?
у меня куча железа ssh 1 only :(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от _KUL (ok) on 25-Мрт-15, 12:15 
Так собирай с включением не по умолчанию, делов то.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Аноним (??) on 25-Мрт-15, 17:02 
> Так собирай с включением не по умолчанию, делов то.

Главное еще порт не забыть пробросить наружу. Иначе товарищмайор из NSA будет ругаться на возню с обходом файрвола.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от близняшко on 25-Мрт-15, 13:05 
зависит от дистрибутива, обычно клиент и сервер - разные пакеты зависимые друг-от-друга.
но вот смотри, твои сервера ходят клиентами на твой новый сервер с sshd без планируемого протокола ssh1? если да, то тут ты попал.
если нет, старое железо с sshd, оставь себе  старый клиент (или путти например ха-ха-ха). наверняка в таком барахле по-дефолту работает телнет, а ссш - фича за отдельную секурити лицензию.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Аноним (??) on 25-Мрт-15, 13:09 
Смени прошивку ;)
Dropbear - SSH-2 only.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

24. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  –1 +/
Сообщение от Аноним (??) on 25-Мрт-15, 17:01 
> Смени прошивку ;)
> Dropbear - SSH-2 only.

А заодно теперь вы понимаете, почему фэйсбук припекло свои коммутаторы и BMC выпускать. Не нравится им, когда кто попало без спроса по их инфраструктуре шарится. А вы цепляйтесь за ssh1, цепляйтесь. NSA нужны идиoты в других странах! ;)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  –1 +/
Сообщение от Xasd (ok) on 25-Мрт-15, 21:43 
кстати хотел узнать -- а Facebook разве не является ли той организацией, которая в ходит в список организаций, кто сотрудничает с NSA и добровольно делится всей запрашиваемой информаций?

зачем NSA что-то взламывать, если им проще напрямую у Facebook запросить? :)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

37. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Аноним (??) on 25-Мрт-15, 22:25 
> зачем NSA что-то взламывать, если им проще напрямую у Facebook запросить? :)

Ну так одно дело если NSA у тебя контролируемо просит, и другое - если они просто в режиме гопника делают у тебя в инфраструктуре что хотят.


Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

43. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Аноним (??) on 26-Мрт-15, 18:59 
А ну то есть ты думаешь что NSA просит? :)
Такие дятлы - просто клад, вас будут окучивать до самой смерти, а может и даже и после.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

20. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Аноним (??) on 25-Мрт-15, 16:58 
> у меня куча железа ssh 1 only :(

Ну, радуйся: тебя поимело NSA.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  –4 +/
Сообщение от клоун on 25-Мрт-15, 14:51 
> Во первых, попытка сборки OpenSSL без кода RC4 и DES привела к ошибке компиляции

Закомментил кусок кода, нажал Compile, получил ошибку, запостил новость "Я, Арьяна ван де Вена (Arjan van de Ven), известный разработчик Linux из компании Intel, в который раз поднимаю тему трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования. Проведённый Мною сегодня эксперимент по избавлению от *** окончился неудачей. Разбираться в причинах Я не стану, т.к. это требует от Меня большой работы."

Профессионал... Может м-дак?.. Нет, профессионал...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Crazy Alex (ok) on 25-Мрт-15, 15:02 
И правильно. Он сделал первую часть - показал, где есть проблема. И за это ему спасибо. если бы он нашёл как её решить и приложил патч - было бы отдельное спасибо, но и то, что есть - уже хорошо. Дальше этим займётся маинтайнер и при необходимости дело дойдёт до апстрима. Как-то так оно и работает, на сотрудничестве - каждый делает тот кусок, который для него в данный момент приемлем.

Но нет, клоуну надо поругаться (впрочем, мы все знаем почему) - ему надо чтобы мёд, да ещё ложкой.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  –2 +/
Сообщение от клоун on 25-Мрт-15, 15:23 
- Вовочка, как?? Ты же всегда только и говорил что "Я не хочу".
- Я и сейчас всегда так говорю, но вначале добавляю "Я, Арьяна ван де Вена (Arjan van de Ven), известный разработчик Linux из компании Intel, в который раз поднимаю тему трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования."

И да, лучше жрать большой ложкой мёд, чем маленькой г-вно. И дело здесь не в размере ложки :-).

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +4 +/
Сообщение от Аноним (??) on 25-Мрт-15, 16:25 
> И да, лучше жрать большой ложкой мёд, чем маленькой г-вно. И дело
> здесь не в размере ложки :-).

И по этому ты жрёшь "г-вно" большой ложкой? Клованская мутагенная логика ...

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Аноним (??) on 25-Мрт-15, 18:32 
> И по этому ты жрёшь "г-вно" большой ложкой? Клованская мутагенная логика ...

У него есть забойный аргумент: взять ложку побольше - проще чем сделать из г-на мед.


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

35. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  –1 +/
Сообщение от клоун on 25-Мрт-15, 21:52 
Лучше так, чем отказываться от мёда и жрать г-вно только потому, что оно "свободное" и "выпущено" не корпорастами, а пролетарием.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

28. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Crazy Alex (ok) on 25-Мрт-15, 18:23 
Ещё раз, специально для клоунов. Если человек чем-то помог - например, указал на ранее не замеченную проблему, то нормальные люди за это благодарят. А вот идиоты и сволочи - начинают хамить.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

32. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Нанобот (ok) on 25-Мрт-15, 19:20 
Да практически в любом софте возникнут могут возникнуть проблемы со сборкой, если собирать его с редкоиспользуемыми флагами. Обычно это не так сложно поправить и совсем необязательно по таким мелочам падать на землю, бить ножками по земле и реветь "нисабираааицца"
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

33. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +/
Сообщение от Crazy Alex (ok) on 25-Мрт-15, 20:22 
Ты что, дистры не знаешь? Ёж - птица гордая, пока не пнёшь - не полетит. А суть крика - как раз в том, что не должно это быть редкоиспользуемым флагом, а как бы не дефолтом.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

14. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  –1 +/
Сообщение от Аноним (??) on 25-Мрт-15, 15:09 
Хотет в генте юзовую переменную на этот счёт (наподобие CPU_FLAGS_X86), например CYPHER_ALGORITHMS , чтобы можно было сразу во всех возможных пакетах поотрубать ненужное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +1 +/
Сообщение от Я (??) on 25-Мрт-15, 17:06 
Для этого уже есть юзфлаги. Делать 9000 переменных и разносить флаги по ним это как-то костыльно.

Хотя может в будущем придумают что-нибудь типа одной переменной, но чтобы флаги указывались с категориями.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

30. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."  +2 +/
Сообщение от Аноним (??) on 25-Мрт-15, 18:33 
> CYPHER

Ммм..да, вас к криптографии лучше не подпускать на дальность полета баллистической ракеты.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру