OpenForum RSS: Вышел релиз OpenSSH 5.2 https://www.opennet.ru/openforum/vsluhforumID3/49837.html Анонсирован (http://marc.info/?l=openssh-unix-dev&m=123535620330726&w=2) выход релиза OpenSSH 5.2 (http://www.openssh.com), открытой реализации клиента и сервера для работы по протоколу SSH версии 1.3, 1.5 и 2.0. <br><br><br>Новшества, представленные в OpenSSH 5.2:<br><br><br><br>- Изменен порядок применение методов шифрования, начиная с текущей версии по умолчанию приоритетными методами являются AES CTR и переработанный "arcfour256". Приоритет выбора CBC метода понижен до минимума, так как он подвержен уязвимости (http://www.opennet.ru/opennews/art.shtml?num=18947), теоретически позволяющей перехватывать и изменять SSH трафик. Кроме того, в OpenSSH 5.2 изменено поведение сервера при обнаружении аномалий в CBC шифровании, что сводит на нет возможность проведения вышеупомянутых атак.<br><br>- В ssh клиент добавлена новая опция "-y", позволяющая выводить служебную информацию через syslog, а не stderr, что полезно при запуске ssh в режиме демона (ssh -f);<br><br>- В файле конфигурации sshd директива ForceC...<br><br>URL: http://marc.in Вышел релиз OpenSSH 5.2 (fgs) https://www.opennet.ru/openforum/vsluhforumID3/49837.html#22 Tue, 16 Jun 2009 14:59:27 GMT &gt; Вышел релиз OpenSSH 5.2 (PereresusNeVlezaetBuggy) https://www.opennet.ru/openforum/vsluhforumID3/49837.html#20 Wed, 25 Feb 2009 17:28:00 GMT &gt;&gt;&gt;Для Ыкстпертов: cbc не выкинули, просто при наличии лучших алгоритмов - заюзаются онЕ.<br>&gt;&gt;Вы будете смеяться, но до большинства это дошло раньше, чем до вас&#8230; <br>&gt;<br>&gt;Но вот до Вас конкретно - позже всех :) Не так ли <br>&gt;? <br>&gt;Или для чего весь этот стон про "кирдык хардовым чиперам"? :) <br><br>Это были не стоны (не говоря о том, что терминов вроде &#171;кирдык&#187; вы в моих и других сообщениях не найдёте), а отражение объективной реальности:<br><br>Во-первых, бОльшая часть SSH-соединений устанавливается при помощи OpenSSH;<br><br>Во-вторых, бОльшая часть пользователей (или поставщиков решений, использующих) OpenSSH не настраивает приоритеты алгоритмов, полагаясь (и не без оснований) на выбор разработчиков.<br><br>Поэтому в более или менее скором времени, когда (заботливые) администраторы, а также люди, полагающиеся на автообновление, установят новую версию OpenSSH, то у них возможно падение производительности. И если отдельно установленные платы для аппаратного шифрования/дешифрования ещё редкость, то, скажем, Via C3 Вышел релиз OpenSSH 5.2 (РеволюцЫонный матрос Железняк) https://www.opennet.ru/openforum/vsluhforumID3/49837.html#19 Wed, 25 Feb 2009 15:22:44 GMT &gt;&gt;Для Ыкстпертов: cbc не выкинули, просто при наличии лучших алгоритмов - заюзаются онЕ.<br>&gt;Вы будете смеяться, но до большинства это дошло раньше, чем до вас&#8230; <br><br>Но вот до Вас конкретно - позже всех :) Не так ли ?<br>Или для чего весь этот стон про "кирдык хардовым чиперам"? :)<br><br><br><br> Вышел релиз OpenSSH 5.2 (PereresusNeVlezaetBuggy) https://www.opennet.ru/openforum/vsluhforumID3/49837.html#18 Tue, 24 Feb 2009 16:29:08 GMT &gt;Для Ыкстпертов: cbc не выкинули, просто при наличии лучших алгоритмов - заюзаются <br>&gt;онЕ.<br><br>Вы будете смеяться, но до большинства это дошло раньше, чем до вас&#8230;<br><br>&gt;А по поводу того насколько это безопасно - дык! Классический трэйдофф - <br>&gt;скорость вс секурность :) <br>&gt;<br>&gt;ПыСЫ: Кстате - санки вроде придлагали карты с аесом на борту. <br><br>Да их много, этих карт (точнее, чипов), сходите по одной из ссылок, приведённых выше: http://www.hardware-ciphers.com/ . Просто, как и, скажем, карты для кодирования видео, они нужны далеко не всем.<br> Вышел релиз OpenSSH 5.2 (РеволюцЫонный матрос Железняк) https://www.opennet.ru/openforum/vsluhforumID3/49837.html#17 Tue, 24 Feb 2009 16:18:25 GMT Для Ыкстпертов: cbc не выкинули, просто при наличии лучших алгоритмов - заюзаются онЕ. <br>А по поводу того насколько это безопасно - дык! Классический трэйдофф - скорость вс секурность :)<br><br>ПыСЫ: Кстате - санки вроде придлагали карты с аесом на борту. <br> Вышел релиз OpenSSH 5.2 (2deskpot) https://www.opennet.ru/openforum/vsluhforumID3/49837.html#16 Tue, 24 Feb 2009 12:37:46 GMT Нужны числа?<br>Начните качать с сайта большой файл на хорошей скорости (скажем, 100 мегабит) по https.<br>И смотрите загрузку проца в это время.<br>Если вам не нравится такая загрузка, то вам может помочь аппаратные решения.<br>Особенно, если скорость канала в интернет данного сервера куда больше скорости, на которой качался файл.<br><br>Можно обосновать математически:<br>Имеем уравнение:<br>(ширина канала)/(скорость закачки) = 100%/(загрузка проца одной такой закачкой)<br><br>Если правая и левая части уровнения равны, значит ваша система справится с шифрованием всего трафика.<br>Если правая часть меньше, значит не справится.<br><br>Пример:<br>ширина канала = 1000Mb/s<br>скорость закачки = 100Mb/s<br>100% = 100%<br>загрузка одной закачкой = 10%<br><br>1000/100 = 100%/10% - проц справляется (правда при 1Gbps будет загружен на 100%)<br><br>Другой пример:<br>загрузка одной закачкой = 20<br><br>1000/100 = 100/20 - проц сможет осилить только половину скорости канала (если весь трафик будет шифроваться)<br><br>Ну и т.д.<br><br>Вывод:<br>В каждом случае будет свой ответ н Вышел релиз OpenSSH 5.2 (PereresusNeVlezaetBuggy) https://www.opennet.ru/openforum/vsluhforumID3/49837.html#15 Tue, 24 Feb 2009 10:30:01 GMT &gt;&gt;... Пока не утыкаемся в обсуждённые выше проблемы с CBC. <br>&gt;<br>&gt;В чем проблема? Включаем в настройках и радуемся... Разработчики ведь не закрыли <br>&gt;поддержку, а лишь изменили приоритет! <br><br>Ну так включайте, пожалуйста. И не стесняйтесь на красный свет дорогу переходить, чего бояться.<br> Вышел релиз OpenSSH 5.2 (crick) https://www.opennet.ru/openforum/vsluhforumID3/49837.html#14 Tue, 24 Feb 2009 10:13:05 GMT &gt;... Пока не утыкаемся в обсуждённые выше проблемы с CBC. <br><br>В чем проблема? Включаем в настройках и радуемся... Разработчики ведь не закрыли поддержку, а лишь изменили приоритет!<br> Вышел релиз OpenSSH 5.2 (User294) https://www.opennet.ru/openforum/vsluhforumID3/49837.html#13 Tue, 24 Feb 2009 00:45:27 GMT &gt;на то, что потеря невелика. <br><br>А это смотря что делать.Представьте себе проксирование или vpn порядка гигабита по ssh например.Вы все еще уверены что это ерунда?А если гигабитных интерфейсов несколько а сервак, допустим, юзает орава народа (VDS там и так далее).Вообще, ssh особой скромностью в плане юзежа проца при большоем траффике не отличается.Подозреваю что за счет шифрования как раз.А случаи бывают разные.<br><br>P.S. arcfour'у довольно много досталось от криптографов и нафиг его (даже переработанный) делать приоритетным - не очень понятно.Или их переработка устраняет все известные проблемы и надежность оного проверена криптографами?<br>