The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.03.2015 08:25  В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности избавления от устаревших криптоалгоритмов

Разработчики OpenSSH сообщили о переходе к сборке OpenSSH с отключенной по умолчанию поддержкой протокола SSH-1. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для использования. Кроме того, работа OpenSSH без OpenSSL возможна только при использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.

Кроме того, можно отметить заметку Арьяна ван де Вена (Arjan van de Ven), известного разработчика Linux из компании Intel, в которой поднимается тема трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования. Эксперимент по полному изъятию алгоритмов RC4 и DES на этапе сборки привёл к неудаче. Во-первых, попытка сборки OpenSSL без кода RC4 и DES привела к ошибке компиляции, а во-вторых, в дистрибутиве оказалось достаточное число пакетов, которые требуют RC4 и DES в качестве зависимостей. Как правило, поддержка устаревших алгоритмов в пакетах присутствует в качестве опции и отключаема, но это требует большой рутинной работы по пересмотру параметров сборки пакетов и тестированию возможных регрессий.

В настоящее время в дистрибутивах продолжают поддерживаться различные ненадёжные алгоритмы шифрования, которые становятся своего рода миной замедленного действия. Стопроцентную уверенность в том, что эти алгоритмы не будут задействованы для атак, манипулирующих откатом к менее надёжным методам шифрования, может дать их полное отключение на этапе сборки. Иначе будут продолжать всплывать атаки, подобные FREAK, в которой смена шифра RSA на RSA_EXPORT позволяет выполнить дешифровку трафика.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Выпуск OpenSSH 6.8
  3. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  4. OpenNews: Уязвимость в SSLv3 может использоваться и для атаки на некоторые сайты с TLS
  5. OpenNews: Новая атака на SSL/TLS, позволяющая организовать перехват HTTPS-трафика
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.3, Аноним, 09:33, 25/03/2015 [ответить] [смотреть все]
  • +/
    Кстати, cebka презентацию рассказывал https events yandex ru lib talks 2693 , ... весь текст скрыт [показать]
     
     
  • 2.4, Аноним, 09:35, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    запятая все испортила. https://events.yandex.ru/lib/talks/2693/
     
  • 2.19, Аноним, 16:57, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Скорее было бы уместнее рассматривать сборку софта без использования OpenSSL До... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Аноним, 18:59, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Знали-то и раньше Но форкать не решались, это ведь не libvasyapupkin, а весьма ... весь текст скрыт [показать]
     
     
  • 4.36, Аноним, 22:04, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Не очень понимаю эту манию наедаться г-ном досыта Грабельная либа под проблемно... весь текст скрыт [показать]
     
     
  • 5.39, Ivan_83, 22:36, 25/03/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Ты преувеличиваешь сложность Это инженерная задача цель есть, нужно придумать ... весь текст скрыт [показать]
     
  • 5.41, Аноним, 03:15, 26/03/2015 [^] [ответить] [смотреть все]  
  • +/
    И всё же что-то мешало остальным включая комментаторов на Опеннете сделать луч... весь текст скрыт [показать]
     
  • 1.5, Нанобот, 10:10, 25/03/2015 [ответить] [смотреть все]  
  • –3 +/
    Кроме того, можно отметить никак не связанную с этой новостью заметку Арьяна ван... весь текст скрыт [показать]
     
     
  • 2.7, YetAnotherOnanym, 10:53, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Не благодари ... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Сергей, 10:14, 25/03/2015 [ответить] [смотреть все]  
  • +/
    Может конечно и надо из SSh удалить код, но может проще протокол 1 сделать не активным по дефолту, а так я на протяжении как только появился ghjnjrjk 2 его только и включаю...
     
  • 1.8, mike_t, 11:18, 25/03/2015 [ответить] [смотреть все]  
  • +/
    это касается только сервера или клиента тоже?
    у меня куча железа ssh 1 only :(
     
     
  • 2.9, _KUL, 12:15, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так собирай с включением не по умолчанию, делов то.
     
     
  • 3.25, Аноним, 17:02, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Главное еще порт не забыть пробросить наружу Иначе товарищмайор из NSA будет ру... весь текст скрыт [показать]
     
  • 2.10, близняшко, 13:05, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    зависит от дистрибутива, обычно клиент и сервер - разные пакеты зависимые друг-о... весь текст скрыт [показать] [показать ветку]
     
  • 2.11, Аноним, 13:09, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Смени прошивку ;)
    Dropbear - SSH-2 only.
     
     
  • 3.24, Аноним, 17:01, 25/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    А заодно теперь вы понимаете, почему фэйсбук припекло свои коммутаторы и BMC вып... весь текст скрыт [показать]
     
     
  • 4.34, Xasd, 21:43, 25/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    кстати хотел узнать -- а Facebook разве не является ли той организацией, которая... весь текст скрыт [показать]
     
     
  • 5.37, Аноним, 22:25, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну так одно дело если NSA у тебя контролируемо просит, и другое - если они прост... весь текст скрыт [показать]
     
     
  • 6.43, Аноним, 18:59, 26/03/2015 [^] [ответить] [смотреть все]  
  • +/
    А ну то есть ты думаешь что NSA просит Такие дятлы - просто клад, вас будут ... весь текст скрыт [показать]
     
  • 2.20, Аноним, 16:58, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > у меня куча железа ssh 1 only :(

    Ну, радуйся: тебя поимело NSA.

     
  • 1.12, клоун, 14:51, 25/03/2015 [ответить] [смотреть все]  
  • –4 +/
    Закомментил кусок кода, нажал Compile, получил ошибку, запостил новость Я, Арья... весь текст скрыт [показать]
     
     
  • 2.13, Crazy Alex, 15:02, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И правильно Он сделал первую часть - показал, где есть проблема И за это ему с... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, клоун, 15:23, 25/03/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    - Вовочка, как Ты же всегда только и говорил что Я не хочу - Я и сейчас все... весь текст скрыт [показать]
     
     
  • 4.17, Аноним, 16:25, 25/03/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    И по этому ты жрёшь г-вно большой ложкой Клованская мутагенная логика ... весь текст скрыт [показать]
     
     
  • 5.29, Аноним, 18:32, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    У него есть забойный аргумент взять ложку побольше - проще чем сделать из г-на ... весь текст скрыт [показать]
     
     
  • 6.35, клоун, 21:52, 25/03/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Лучше так, чем отказываться от мёда и жрать г-вно только потому, что оно свобод... весь текст скрыт [показать]
     
  • 4.28, Crazy Alex, 18:23, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Ещё раз, специально для клоунов Если человек чем-то помог - например, указал на... весь текст скрыт [показать]
     
     
  • 5.32, Нанобот, 19:20, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Да практически в любом софте возникнут могут возникнуть проблемы со сборкой, есл... весь текст скрыт [показать]
     
     
  • 6.33, Crazy Alex, 20:22, 25/03/2015 [^] [ответить] [смотреть все]  
  • +/
    Ты что, дистры не знаешь Ёж - птица гордая, пока не пнёшь - не полетит А суть ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (8)

  • 1.14, Аноним, 15:09, 25/03/2015 [ответить] [смотреть все]  
  • –1 +/
    Хотет в генте юзовую переменную на этот счёт наподобие CPU_FLAGS_X86 , например... весь текст скрыт [показать]
     
     
  • 2.27, Я, 17:06, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Для этого уже есть юзфлаги Делать 9000 переменных и разносить флаги по ним это ... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, Аноним, 18:33, 25/03/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Ммм да, вас к криптографии лучше не подпускать на дальность полета баллистическ... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList