https://ssl.opennet.dev/openforum/vsluhforumID3/132559.html Разработчики проекта OpenSSH представили план прекращения поддержки ключей на базе алгоритма DSA. По современным меркам DSA-ключи не обеспечивают должного уровня защиты, так как используют размер закрытого ключа всего в 160 бит и хэш SHA1, что по уровню безопасности соответствует примерно 80 разрядному симметричному ключу...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60426<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132559.html#44 Sun, 28 Jan 2024 12:16:54 GMT &gt;&gt; Как прибили, так пол ляма зелени жалко на замену.<br>&gt; Думаю, нет - так, чтобы железка умела _только_ в DSA-ключи я не <br>&gt; помню. Т.е. не то, чтобы я железячник, хорошо знающий эмбеддовку - <br>&gt; но вот не видел и пожалуй даже не слышал. А сгенерированные <br>&gt; DSA-ключи видел, в том числе и в своем исполнении - правда <br>&gt; давнёооохонько то дело было...<br><br>Привет железкам из 95го от производителей, сотрудничавших с НИСТ (там DSA был верхом совершенства, остальное абсолютный попил)<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132559.html#42 Sat, 13 Jan 2024 15:38:43 GMT Как сломается? Столлман ночью обновление накатит и старый код отберёт? Или в твоей слаке до сих пор не осилили разные версии софта на одной системе держать?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132559.html#41 Sat, 13 Jan 2024 13:09:25 GMT Пример этих утверждений в студию, пожалуйста. И не чтобы "при полной луне, когда юзер поставил 100 параметров в определенные значения и выпил чаю, то...)<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132559.html#40 Sat, 13 Jan 2024 13:07:32 GMT Еще вариант просто поставить прокси где-то. <br><br>P.S. (про руки и ум не пишу, потому что эта фраза скорее характеризует пишущего, чем тому, кому написано)<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132559.html#39 Sat, 13 Jan 2024 08:09:12 GMT Именно так написано в оригинальном анонсе "DSA, as specified in the SSHv2 protocol, is inherently weak - being limited to a 160 bit private key and use of the SHA1 digest."<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132559.html#38 Sat, 13 Jan 2024 08:03:29 GMT &gt; но openssl'ные "миллион возможностей выстрелить себе в ногу" тоже не оч-то.<br><br>к сожалению, "разработчики" openssh всегда были сильны в FUD а не в крипто.<br><br>Все на что их хватило в далеком 2003м - это выпилить-выпилить непонятные и сложные им криптореализации Йлонена и запилить интерфейсик к openssl (причем - к тогдашней, ужос-ужос). <br>Ну вот теперь у них есть еще один, упрощенный, к nacl (творчески переосмысленной но это все еще она) - снова не они писали, там сплошная копипаста.<br><br>В результате нет ни совместимости с другими реализациями, ни гарантий что там не всплывет какой-нибудь способ свести всю секьюрити к xor'ам.<br><br>Уж лучше оставить openssl - теперь это единственный доступный выбор.<br>(ну и в принципе - авторизация по сертификатам в конечном итоге все же лучше чем предлагаемые альтернативы, а она уж точно без openssl нереальна)<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/132559.html#37 Sat, 13 Jan 2024 07:54:52 GMT &gt; Закоренелый, успокойся, тебе никто не мешает держать древнее.<br><br>Так не я ж кипишую с "Ааааа! все пропало! Самоновейшую железку 2010 года с арча 2025 админить низзя!!!11расрасрас" <br> https://ssl.opennet.dev/openforum/vsluhforumID3/132559.html#36 Sat, 13 Jan 2024 07:52:33 GMT &gt; Ничего что при такой сборке не то что dsa, а вообще ни <br>&gt; один алгоритм кроме карманных djbшных не поддерживается в принципе? Секьюрить!<br><br>Не то, чтобы в этом было что-то плохое... Хотя нет, протокол, завязанный на один единственный алгоритм (Кто сказал "вайргард"?!) - не есть гут, но openssl'ные "миллион возможностей выстрелить себе в ногу" тоже не оч-то.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/132559.html#35 Sat, 13 Jan 2024 07:00:16 GMT потому что за всеми любителями разрушать до основания и построить какое-то г-но - не находишься.<br>Человеческая цивилизация держалась (уже - постфактум) на сотрудничестве а не явном вредительстве.<br><br>