https://www.opennet.ru/openforum/vsluhforumID3/117145.html После пяти месяцев разработки представлен (http://lists.mindrot.org/pipermail/openssh-unix-dev/2019-April/037747.html) релиз OpenSSH 8.0 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. <br><br><br>Основные изменения: <br><br><br><br>- В ssh и sshd добавлена экспериментальная поддержка метода обмена ключами, стойкого к подбору на квантовом компьютере. Квантовые компьютеры кардинально быстрее решают задачу разложения натурального числа на простые множители, которая лежит в основе современных асимметричных алгоритмов шифрования и эффективно не решаема на классических процессорах. Предложенный метод основан на алгоритме NTRU Prime (https://ntruprime.cr.yp.to/) (функция ntrup4591761), разработанному для постквантумных криптосистем, и методе обмена ключами на базе эллиптических кривых X25519;<br><br>- В sshd в директивах ListenAddress и PermitOpen прекращена поддержка устаревшего синтаксиса "host/port", реализованного в 2001 году в качестве альтернативы "host:port" для упро https://www.opennet.ru/openforum/vsluhforumID3/117145.html#18 Fri, 19 Apr 2019 20:56:03 GMT А поддержка UDP в SOCKS (-o DynamicForward / -D) будет?<br> https://www.opennet.ru/openforum/vsluhforumID3/117145.html#17 Fri, 19 Apr 2019 19:39:42 GMT Последнее время ушёл на &#171;Dropbear&#187; с файерволом 22 по ip.<br> https://www.opennet.ru/openforum/vsluhforumID3/117145.html#16 Fri, 19 Apr 2019 08:04:24 GMT чтобы утекший или забытый ключ десять лет назад уволившегося сотрудника еще лет десять подходил бы ко всем дверям, правильно.<br>Нет бы наоборот, принудительно удалять все ключи старше трех месяцев (в отличие от идиотских политик принудительной смены паролей - эта как раз имеет смысл - если, конечно, не пользоваться сертификатами по каким-то религиозным причинам)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/117145.html#15 Fri, 19 Apr 2019 07:55:10 GMT "инвесторы любят большие числа".<br>А потом будет версия 40.<br> https://www.opennet.ru/openforum/vsluhforumID3/117145.html#14 Fri, 19 Apr 2019 06:14:30 GMT &gt; И что мешает увеличить размер ключа в каком-нибудь 8.x?<br><br>Ничего, в жизненном цикле 6-ки вроде как раз увеличивали. Есть все механизмы, чтобы сделать это на уровне конфигов.<br> https://www.opennet.ru/openforum/vsluhforumID3/117145.html#13 Thu, 18 Apr 2019 21:17:52 GMT И что мешает увеличить размер ключа в каком-нибудь 8.x?<br>Тут дело не в этом. Нужно рассчитывать на то, что сгенерированные пользователями ключи будут использоваться длительное время.<br> https://www.opennet.ru/openforum/vsluhforumID3/117145.html#12 Thu, 18 Apr 2019 20:21:57 GMT OpenSSL 3.0 is a major release and will be a significant change to the internal architecture of OpenSSL.<br><br>https://www.openssl.org/blog/blog/2019/02/13/FIPS-update/<br> https://www.opennet.ru/openforum/vsluhforumID3/117145.html#11 Thu, 18 Apr 2019 18:53:24 GMT Берут на вырост. Какой-нибудь OpenSSH 8.x попадет в RHEL 8, который вполне может дожить до 2030 года.<br> https://www.opennet.ru/openforum/vsluhforumID3/117145.html#10 Thu, 18 Apr 2019 16:36:59 GMT &gt; В ssh-keygen размер ключа RSA по умолчанию увеличен до 3072 бит, в соответствии с новыми рекомендациями NIST; <br><br>Ну, до 2030 года 2048 считается безопасным в соответствии с этими самыми рекомендациями. А загадывать на 10 лет вперед я бы не рискнул, прогресс заметно ускоряется с каждым годом, возможно, к тому времени уже что-то совсем иное будет.<br>