forum.opennet.ru

Составление сообщения

Исходное сообщение

"В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."
Отправлено opennews, 25-Мрт-15 09:05

Разработчики OpenSSH сообщили (http://marc.info/?l=openbsd-tech&m=142716088814469&w=2) о переходе к сборке OpenSSH с отключенной по умолчанию поддержкой протокола SSH-1. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для использования. Кроме того, работа OpenSSH без OpenSSL возможна только при использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.

Кроме того, можно отметить заметку (https://plus.google.com/+ArjanvandeVen/posts/VAK1SRHjTZm) Арьяна ван де Вена (Arjan van de Ven), известного разработчика Linux из компании Intel, в которой поднимается тема трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования. Эксперимент по полному изъятию алгоритмов RC4 и DES на этапе сборки привёл к неудаче. Во первых, попытка сборки OpenSSL без кода RC4 и DES привела к ошибки компиляции, а во вторых, в дистрибутиве оказалось достаточное число пакетов, которые требуют RC4 и DES в качестве зависимостей. Как правило, поддержка устаревших алгоритмов в пакетах присутствует в качестве опции и отключаема, но это требует большой рутинной работы по пересмотру параметров сборки пакетов и тестированию возможных регрессий.
В настоящее время в дистрибутивах продолжают поддерживаться различные ненадёжные алгоритмы шифрования, которые становятся своего рода миной замедленного действия. Стопроцентную уверенность в том, что эти алгоритмы не будут задействованы для атак, манипулирующих откатом к менее надёжным методам шифрования, может дать их полное отключение на этапе сборки. Иначе будут продолжать всплывать атаки, подобные FREAK (https://www.opennet.ru/opennews/art.shtml?num=4178), в которой смена шифра RSA на RSA_EXPORT позволяет выполнить дешифровку трафика.
URL: http://undeadly.org/cgi?action=article&sid=20150324200217
Новость: https://www.opennet.ru/opennews/art.shtml?num=41907

Исходное сообщение
"В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..." Отправлено opennews, 25-Мрт-15 09:05
Разработчики OpenSSH сообщили (http://marc.info/?l=openbsd-tech&m=142716088814469&w=2) о переходе к сборке OpenSSH с отключенной по умолчанию поддержкой протокола SSH-1. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для использования. Кроме того, работа OpenSSH без OpenSSL возможна только при использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL. Кроме того, можно отметить заметку (https://plus.google.com/+ArjanvandeVen/posts/VAK1SRHjTZm) Арьяна ван де Вена (Arjan van de Ven), известного разработчика Linux из компании Intel, в которой поднимается тема трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования. Эксперимент по полному изъятию алгоритмов RC4 и DES на этапе сборки привёл к неудаче. Во первых, попытка сборки OpenSSL без кода RC4 и DES привела к ошибки компиляции, а во вторых, в дистрибутиве оказалось достаточное число пакетов, которые требуют RC4 и DES в качестве зависимостей. Как правило, поддержка устаревших алгоритмов в пакетах присутствует в качестве опции и отключаема, но это требует большой рутинной работы по пересмотру параметров сборки пакетов и тестированию возможных регрессий. В настоящее время в дистрибутивах продолжают поддерживаться различные ненадёжные алгоритмы шифрования, которые становятся своего рода миной замедленного действия. Стопроцентную уверенность в том, что эти алгоритмы не будут задействованы для атак, манипулирующих откатом к менее надёжным методам шифрования, может дать их полное отключение на этапе сборки. Иначе будут продолжать всплывать атаки, подобные FREAK (https://www.opennet.ru/opennews/art.shtml?num=4178), в которой смена шифра RSA на RSA_EXPORT позволяет выполнить дешифровку трафика. URL: http://undeadly.org/cgi?action=article&sid=20150324200217 Новость: https://www.opennet.ru/opennews/art.shtml?num=41907

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики OpenSSH сообщили (http://marc.info/?l=openbsd-tech&m=142716088814469&w=2) 
> о переходе к сборке OpenSSH с отключенной по умолчанию поддержкой протокола 
> SSH-1. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для 
> использования. Кроме того, работа OpenSSH без OpenSSL возможна только  при 
> использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 
> и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне 
> сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования 
> конфигураций OpenSSH, собранных без привязки к OpenSSL.

> Кроме того, можно отметить заметку (https://plus.google.com/+ArjanvandeVen/posts/VAK1SRHjTZm) 
> Арьяна ван де Вена (Arjan van de Ven), известного разработчика Linux 
> из компании Intel, в которой поднимается тема трудности избавления дистрибутивов Linux 
> от устаревших и небезопасных алгоритмов шифрования. Эксперимент по полному изъятию алгоритмов 
> RC4 и DES на этапе сборки привёл к неудаче. Во первых, 
> попытка сборки OpenSSL без кода RC4 и DES привела к ошибки 
> компиляции, а во вторых, в дистрибутиве оказалось достаточное число пакетов, которые 
> требуют  RC4 и DES в качестве зависимостей. Как правило, поддержка 
> устаревших алгоритмов в пакетах присутствует в качестве опции и отключаема, но 
> это требует большой рутинной работы по пересмотру параметров сборки пакетов и 
> тестированию возможных регрессий.

> В настоящее время в дистрибутивах продолжают поддерживаться различные ненадёжные алгоритмы 
> шифрования, которые становятся своего рода миной замедленного действия. Стопроцентную 
> уверенность в том, что эти алгоритмы не будут задействованы для атак, 
> манипулирующих откатом к менее надёжным методам шифрования, может дать их полное 
> отключение на этапе сборки. Иначе будут продолжать всплывать атаки, подобные FREAK 
> (https://www.opennet.ru/opennews/art.shtml?num=4178), в которой смена шифра RSA на RSA_EXPORT 
> позволяет выполнить дешифровку трафика.

> URL: http://undeadly.org/cgi?action=article&sid=20150324200217 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=41907

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру