forum.opennet.ru - "Проект OpenSSH опубликовал план прекращения поддержки DSA" (41)

"Проект OpenSSH опубликовал план прекращения поддержки DSA"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
Сообщение от opennews (??), 12-Янв-24, 12:48
Разработчики проекта OpenSSH представили план прекращения поддержки ключей на базе алгоритма DSA. По современным меркам DSA-ключи не обеспечивают должного уровня защиты, так как используют размер закрытого ключа всего в 160 бит и хэш SHA1, что по уровню безопасности соответствует примерно 80 разрядному симметричному ключу... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60426
Ответить \| Правка \| Cообщить модератору

Оглавление

Астрологи объявили проблемы с доступом к древнему железу на лето, Аноним (1), 12:48 , 12-Янв-24, (1) +9

Древнее железо самостоятельно накатит на себя свежий OpenSSH , Астролог (?), 12:52 , 12-Янв-24, (2) +3

клиент сломается, Аноним (4), 13:10 , 12-Янв-24, (4) +4

У любителей с-лопаты-посвежее Ну будет на арче 1 поломка - одной больше, одн, User (??), 13:37 , 12-Янв-24, (7) –3

Закоренелый, успокойся, тебе никто не мешает держать древнее , scriptkiddis (?), 09:25 , 13-Янв-24, (29)

Так не я ж кипишую с Ааааа все пропало Самоновейшую железку 2010 года с арча , User (??), 10:54 , 13-Янв-24, (37)

Как сломается Столлман ночью обновление накатит и старый код отберёт Или в тво, Аноним (42), 18:38 , 13-Янв-24, (42) –2

астрологи как обычно висят в облаках а практики используют то что нужно там, pfg21 (ok), 12:53 , 12-Янв-24, (3) +1

Разумеется можно, только это никак не отменит того факта что в системе алгоритма, Аноним (1), 16:11 , 12-Янв-24, (16) –1

Шо значит алгоритма нет Этих ssh клиентов как грязи, если уж нужно зайти на дре, Аноним (18), 17:07 , 12-Янв-24, (18) +1

никто и не говорит, что это фатальная и непреодолимая проблема, но определенное , Аноним (21), 18:08 , 12-Янв-24, (21)

Этих неудобств со старым оборудованием уже дофига, - еще одно погоды не сделае, Rollo99 (ok), 02:54 , 13-Янв-24, (27)

Но думаю, что самой проблемой будет работа с такими устройствами автоматическими, Rollo99 (ok), 02:58 , 13-Янв-24, (28)

Ну так а чеж ты только тут коментики такие строчишь, а не пошел в мантейнеры ope, scriptkiddis (?), 09:27 , 13-Янв-24, (30) –1

потому что за всеми любителями разрушать до основания и построить какое-то г-но , нах. (?), 10:00 , 13-Янв-24, (35) –1

И http 0 9 прекрасно работает в 2 0 17 firefox Берёшь portable версию под нужну, Аноним (18), 17:11 , 12-Янв-24, (19)

а оригинальный ms-dos запускается на 486 пне спаять который тоже не проблема при, Аноним (21), 17:56 , 12-Янв-24, (20)

Ты по-моему уже запутался чего тебе нужно Если нужно настроить древнюю железяк, хрю (?), 22:55 , 12-Янв-24, (23) +1

Так ведь никто не мешает использовать для таких дел легковесный контейнер с любо, Докерзабастовщик (?), 23:42 , 12-Янв-24, (25) +2
Еще вариант просто поставить прокси где-то P S про руки и ум не пишу, потому , Всем Анонимам Аноним (?), 16:07 , 13-Янв-24, (40)

Есть мнение, что на сегодняшний день DSA-ключами действительно пользуются только, Lost Inside (ok), 13:27 , 12-Янв-24, (5) +4

Предполагаю, что там где оно есть - это что-то из разряда как прибили - так и д, User (??), 13:38 , 12-Янв-24, (8) +1

Как прибили, так пол ляма зелени жалко на замену , tty0 (?), 14:01 , 12-Янв-24, (12)

Думаю, нет - так, чтобы железка умела _только_ в DSA-ключи я не помню Т е не т, User (??), 14:16 , 12-Янв-24, (13)

Привет железкам из 95го от производителей, сотрудничавших с НИСТ там DSA был ве, tty0 (?), 15:16 , 28-Янв-24, (44)

врунишки Затраты на сопровождение еще одного варианта параметра для вызова open, Аноним (6), 13:34 , 12-Янв-24, (6) –2

make OPENSSL no году в 2015 появилась, так-то , User (??), 13:42 , 12-Янв-24, (9)

Ничего что при такой сборке не то что dsa, а вообще ни один алгоритм кроме карма, нах. (?), 09:49 , 13-Янв-24, (32)

Не то, чтобы в этом было что-то плохое Хотя нет, протокол, завязанный на один, User (??), 10:52 , 13-Янв-24, (36)

к сожалению, разработчики openssh всегда были сильны в FUD а не в крипто Все н, нах. (?), 11:03 , 13-Янв-24, (38)

надежнтопешытя правельна, Аноним (10), 13:43 , 12-Янв-24, (10)
Пример этих утверждений в студию, пожалуйста И не чтобы при полной луне, когда, Всем Анонимам Аноним (?), 16:09 , 13-Янв-24, (41)

Интересно в чем затраты на продолжение сопровождения Платят, что бы ничего не, sig11 (ok), 13:47 , 12-Янв-24, (11)

Представь, что тебе не очень часто, но регулярно пишут пользователи С какими-то , Аноним (-), 21:47 , 12-Янв-24, (22)

Работы и так меньше - в опенсорсе никто никому ничего не обязан В том числе ник, Аноним (26), 23:46 , 12-Янв-24, (26) +1
представлять ты конечно горазд, а можешь показать хоть одно письмо этих самых по, нах. (?), 09:41 , 13-Янв-24, (31)

Ну значит появятся LibreSSH BoringSSH GnuSSH, если ещё не появились , Аноним (17), 16:20 , 12-Янв-24, (17)

угу, и из них еще и rsa выпилят, патамушта нисисюрна на деле потомушта ниасилил, нах. (?), 09:52 , 13-Янв-24, (33) +1

Какая-то безграмотная каша в новости 1 Типичная и единственно разрешённая длина, Аноним (24), 23:05 , 12-Янв-24, (24)

это в головах у якобы-разработчиков openssh - в новости вполне точный перевод ор, нах. (?), 09:58 , 13-Янв-24, (34)
Именно так написано в оригинальном анонсе DSA, as specified in the SSHv2 protoc, Аноним (39), 11:09 , 13-Янв-24, (39)

Сообщения [Сортировка по времени | RSS]

1. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +9 +/–

Сообщение от Аноним (1), 12-Янв-24, 12:48

Астрологи объявили проблемы с доступом к древнему железу на лето

Ответить | Правка | Наверх | Cообщить модератору

2. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +3 +/–

Сообщение от Астролог (?), 12-Янв-24, 12:52

Древнее железо самостоятельно накатит на себя свежий OpenSSH?

Ответить | Правка | Наверх | Cообщить модератору

4. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +4 +/–

Сообщение от Аноним (4), 12-Янв-24, 13:10

клиент сломается

Ответить | Правка | Наверх | Cообщить модератору

7. "Проект OpenSSH опубликовал план прекращения поддержки DSA" –3 +/–

Сообщение от User (??), 12-Янв-24, 13:37

У любителей "с-лопаты-посвежее"? Ну будет на арче +1 поломка - одной больше, одной меньше - ЦА и не заметит, им не привыкать.

Ответить | Правка | Наверх | Cообщить модератору

29. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от scriptkiddis (?), 13-Янв-24, 09:25

Закоренелый, успокойся, тебе никто не мешает держать древнее.

Ответить | Правка | Наверх | Cообщить модератору

37. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от User (??), 13-Янв-24, 10:54

> Закоренелый, успокойся, тебе никто не мешает держать древнее.
Так не я ж кипишую с "Ааааа! все пропало! Самоновейшую железку 2010 года с арча 2025 админить низзя!!!11расрасрас"

Ответить | Правка | Наверх | Cообщить модератору

42. "Проект OpenSSH опубликовал план прекращения поддержки DSA" –2 +/–

Сообщение от Аноним (42), 13-Янв-24, 18:38

Как сломается? Столлман ночью обновление накатит и старый код отберёт? Или в твоей слаке до сих пор не осилили разные версии софта на одной системе держать?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

3. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +1 +/–

Сообщение от pfg21 (ok), 12-Янв-24, 12:53

астрологи как обычно висят в облаках :)
а практики используют то что нужно там где нужно :)
древнее железо даже с телнетом можно элементарно закрыть от тырнетика... но астрологи приземленное не видят :)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Проект OpenSSH опубликовал план прекращения поддержки DSA" –1 +/–

Сообщение от Аноним (1), 12-Янв-24, 16:11

Разумеется можно, только это никак не отменит того факта что в системе алгоритма нет, а на железке есть, и если железку обновить нельзя, то "придется" сидеть на древней оси чтобы иметь возможность поправить настройки железки, или элементарно перезагрузить..
Тут недавно принесли старый коммутатор управляемый, у которого нет ничего кроме http, задача сбросить настройки и использовать как обычный хаб, вот только там http 0.9 , пришлось доствать какуюто древнюю копию какой-то XP и через интернет эксплорер...

Ответить | Правка | Наверх | Cообщить модератору

18. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +1 +/–

Сообщение от Аноним (18), 12-Янв-24, 17:07

Шо значит алгоритма нет? Этих ssh клиентов как грязи, если уж нужно зайти на древнюю железяку, то можно взять тот же putty или ещё опакетить старую ssh. В общем это не проблема в ближайщие 10-15 лет.

Ответить | Правка | Наверх | Cообщить модератору

21. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Аноним (21), 12-Янв-24, 18:08

никто и не говорит, что это фатальная и непреодолимая проблема, но определенное неудобство, хочешь ты на железку, а тебе хрен, вот качай чего-то там, законопачивай в пакет...почему бы например не вынести старые алгоритмы в пакет ssh-legacy и ставить его при необходимости, разумеется можно, но майнтейнеры этим заниматься не будут, разрабы ssh тоже сливаются, дебиановци нашли выход с openssh-client-ssh1, но видимо это будет ssh-v1, или чтото такое, а можно было бы решить на уровне самого ssh, чтобы оно выдавало сообщение, типа хост к которому вы подключаетесь старый хлам, если хотите продолжить доустановите пакет/библиотеку ssh-legacy. Разве это не было бы лучше ?

Ответить | Правка | Наверх | Cообщить модератору

27. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Rollo99 (ok), 13-Янв-24, 02:54

Этих неудобств со старым оборудованием уже дофига, +/- еще одно погоды не сделает.
Но раньше как-то больше UI и браузеров касалось: SSL, IE, Java 6, Flash.
В общем прогресс не стоит на месте.

Ответить | Правка | Наверх | Cообщить модератору

28. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Rollo99 (ok), 13-Янв-24, 02:58

Но думаю, что самой проблемой будет работа с такими устройствами автоматическими системами, которые по SSH к ним подключаются.
С какого-то момента придется telnet включать, если есть.

Ответить | Правка | Наверх | Cообщить модератору

30. "Проект OpenSSH опубликовал план прекращения поддержки DSA" –1 +/–

Сообщение от scriptkiddis (?), 13-Янв-24, 09:27

Ну так а чеж ты только тут коментики такие строчишь, а не пошел в мантейнеры openssh чтобы оставить и подерживать этот ssh-legacy? А в прочем и так знаю.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

35. "Проект OpenSSH опубликовал план прекращения поддержки DSA" –1 +/–

Сообщение от нах. (?), 13-Янв-24, 10:00

потому что за всеми любителями разрушать до основания и построить какое-то г-но - не находишься.
Человеческая цивилизация держалась (уже - постфактум) на сотрудничестве а не явном вредительстве.

Ответить | Правка | Наверх | Cообщить модератору

19. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Аноним (18), 12-Янв-24, 17:11

И http 0.9 прекрасно работает в 2.0.17 firefox. Берёшь portable версию под нужную ось и настраиваешь. Опять же не проблема при наличии мозга и рук.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

20. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Аноним (21), 12-Янв-24, 17:56

а оригинальный ms-dos запускается на 486 пне спаять который тоже не проблема при наличии....
Вот скажи человече, надо оно мне? фаерфокс 2.0.17 в 2023 тода еще году, если у вас там некромантии храм и вы поклоняетесь мертвым то ради бога, ваши проблемы.

Ответить | Правка | Наверх | Cообщить модератору

23. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +1 +/–

Сообщение от хрю (?), 12-Янв-24, 22:55

Ты по-моему  уже запутался чего тебе нужно. Если нужно настроить древнюю железяку, то поставить древний фф намного быстрее, чем брать древнюю хп с древним ие.

Ответить | Правка | Наверх | Cообщить модератору

25. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +2 +/–

Сообщение от Докерзабастовщик (?), 12-Янв-24, 23:42

Так ведь никто не мешает использовать для таких дел легковесный контейнер с любой понравившейся обвязкой  для или nix-shell. Кажется, что «держать на локалхосте разные версии утилиты» в 2024 году не является проблемой.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

40. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Всем Анонимам Аноним (?), 13-Янв-24, 16:07

Еще вариант просто поставить прокси где-то.
P.S. (про руки и ум не пишу, потому что эта фраза скорее характеризует пишущего, чем тому, кому написано)

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

5. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +4 +/–

Сообщение от Lost Inside (ok), 12-Янв-24, 13:27

Есть мнение, что на сегодняшний день DSA-ключами действительно пользуются только сумасшедшие астрологи.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

8. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +1 +/–

Сообщение от User (??), 12-Янв-24, 13:38

Предполагаю, что там где оно есть - это что-то из разряда "как прибили - так и держится"

Ответить | Правка | Наверх | Cообщить модератору

12. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от tty0 (?), 12-Янв-24, 14:01

Как прибили, так пол ляма зелени жалко на замену.

Ответить | Правка | Наверх | Cообщить модератору

13. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от User (??), 12-Янв-24, 14:16

> Как прибили, так пол ляма зелени жалко на замену.
Думаю, нет - так, чтобы железка умела _только_ в DSA-ключи я не помню. Т.е. не то, чтобы я железячник, хорошо знающий эмбеддовку - но вот не видел и пожалуй даже не слышал. А сгенерированные DSA-ключи видел, в том числе и в своем исполнении - правда давнёооохонько то дело было...

Ответить | Правка | Наверх | Cообщить модератору

44. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от tty0 (?), 28-Янв-24, 15:16

>> Как прибили, так пол ляма зелени жалко на замену.
> Думаю, нет - так, чтобы железка умела _только_ в DSA-ключи я не
> помню. Т.е. не то, чтобы я железячник, хорошо знающий эмбеддовку -
> но вот не видел и пожалуй даже не слышал. А сгенерированные
> DSA-ключи видел, в том числе и в своем исполнении - правда
> давнёооохонько то дело было...
Привет железкам из 95го от производителей, сотрудничавших с НИСТ (там DSA был верхом совершенства, остальное абсолютный попил)

Ответить | Правка | Наверх | Cообщить модератору

6. "Проект OpenSSH опубликовал план прекращения поддержки DSA" –2 +/–

Сообщение от Аноним (6), 12-Янв-24, 13:34

> затраты на продолжение сопровождения небезопасного алгоритма DSA
врунишки. Затраты на сопровождение еще одного варианта параметра для вызова openssl равны нулю.
> Пользователи, которым необходима поддержка DSA на стороне
> клиента, смогут использовать альтернативные сборки прошлых
> веток OpenSSH
со всеми багами и уязвимостями (никак не привязанными к DSA) которые никто не собирается исправлять а половина из них и неизвестна никому кроме _уважаемых_.
Вот это-то точно надежно и безопастно, не то что просто не трогать работающий код.

Ответить | Правка | Наверх | Cообщить модератору

9. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от User (??), 12-Янв-24, 13:42

make OPENSSL=no году в 2015 появилась, так-то.

Ответить | Правка | Наверх | Cообщить модератору

32. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от нах. (?), 13-Янв-24, 09:49

Ничего что при такой сборке не то что dsa, а вообще ни один алгоритм кроме карманных djbшных не поддерживается в принципе? Секьюрить!

Ответить | Правка | Наверх | Cообщить модератору

36. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от User (??), 13-Янв-24, 10:52

> Ничего что при такой сборке не то что dsa, а вообще ни
> один алгоритм кроме карманных djbшных не поддерживается в принципе? Секьюрить!
Не то, чтобы в этом было что-то плохое... Хотя нет, протокол, завязанный на один единственный алгоритм (Кто сказал "вайргард"?!) - не есть гут, но openssl'ные "миллион возможностей выстрелить себе в ногу" тоже не оч-то.

Ответить | Правка | Наверх | Cообщить модератору

38. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от нах. (?), 13-Янв-24, 11:03

> но openssl'ные "миллион возможностей выстрелить себе в ногу" тоже не оч-то.
к сожалению, "разработчики" openssh всегда были сильны в FUD а не в крипто.
Все на что их хватило в далеком 2003м - это выпилить-выпилить непонятные и сложные им криптореализации Йлонена и запилить интерфейсик к openssl (причем - к тогдашней, ужос-ужос).
Ну вот теперь у них есть еще один, упрощенный, к nacl (творчески переосмысленной но это все еще она) - снова не они писали, там сплошная копипаста.
В результате нет ни совместимости с другими реализациями, ни гарантий что там не всплывет какой-нибудь способ свести всю секьюрити к xor'ам.
Уж лучше оставить openssl - теперь это единственный доступный выбор.
(ну и в принципе - авторизация по сертификатам в конечном итоге все же лучше чем предлагаемые альтернативы, а она уж точно без openssl нереальна)

Ответить | Правка | Наверх | Cообщить модератору

10. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Аноним (10), 12-Янв-24, 13:43

надежнто
пешытя правельна

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

41. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Всем Анонимам Аноним (?), 13-Янв-24, 16:09

Пример этих утверждений в студию, пожалуйста. И не чтобы "при полной луне, когда юзер поставил 100 параметров в определенные значения и выпил чаю, то...)

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

11. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от sig11 (ok), 12-Янв-24, 13:47

>затраты на продолжение сопровождения небезопасного алгоритма DSA не оправдывают себя
Интересно.. в чем затраты на продолжение сопровождения? Платят, что бы ничего не трогали?
Затраты на удаление - я понимаю...

Ответить | Правка | Наверх | Cообщить модератору

22. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Аноним (-), 12-Янв-24, 21:47

Представь, что тебе не очень часто, но регулярно пишут пользователи.
С какими-то проблемами с куском кода который супер старый и супер мутный.
И тебе приходится им что-то отвечать, может даже что-то смотреть по их запросам...
А так просто скинул ссылка на "не поддерживается" и вроде не посылал, а работы стало меньше.

Ответить | Правка | Наверх | Cообщить модератору

26. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +1 +/–

Сообщение от Аноним (26), 12-Янв-24, 23:46

Работы и так меньше - в опенсорсе никто никому ничего не обязан. В том числе никто не обязан фиксить баги.

Ответить | Правка | Наверх | Cообщить модератору

31. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от нах. (?), 13-Янв-24, 09:41

представлять ты конечно горазд, а можешь показать хоть одно письмо этих самых пользователей этим м-кам про проблемы в DSA? (Ну кроме писем шестилетней давности когда они в первый раз его сломали всем - именно потому что полезли заботиться о чужой безопастносте. Угадай что они сделали с этими письмами и почему следующие надо писать на наждачной бумаге.)
В openssh ровно НОЛЬ своего кода "поддерживающего" dsa.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

17. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Аноним (17), 12-Янв-24, 16:20

Ну значит появятся LibreSSH/BoringSSH/GnuSSH, если ещё не появились.

Ответить | Правка | Наверх | Cообщить модератору

33. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +1 +/–

Сообщение от нах. (?), 13-Янв-24, 09:52

угу, и из них еще и rsa выпилят, патамушта нисисюрна (на деле потомушта ниасилили)
Безусловно неумеющие ничего кроме тыренья чужих проектов опенбсдятеры, гугль со своими мнененадоивыобойдетесь и Gnu умеющие только в прокламации и поедание мо30лей это те кто смогут сделать работающую альтернативу.

Ответить | Правка | Наверх | Cообщить модератору

24. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Аноним (24), 12-Янв-24, 23:05

> По современным меркам DSA-ключи не обеспечивают должного уровня защиты, так как используют размер закрытого ключа всего в 160 бит и хэш SHA1
Какая-то безграмотная каша в новости.
1. Типичная и единственно разрешённая длина DSA-ключа в OpenSSH - 1024 бита, а не 160 битов.
2. DSA-ключ не использует хэш SHA-1. Это одна из схем аутентификации OpenSSH использует хэш SHA-1, совместно с ключом DSA.

Ответить | Правка | Наверх | Cообщить модератору

34. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от нах. (?), 13-Янв-24, 09:58

> Какая-то безграмотная каша в новости.
это в головах у якобы-разработчиков openssh - в новости вполне точный перевод оригинала.
160 - это абстрактная "estimated security strength" (данные разумеется взяты с потолка, но очень уважаемыми и другого способа сравнивать разные методики шифрования пока не придумали) а не реальное число битов.
Т.е. более чем достаточная (больше чем у 3des) для любых реалистичных применений - в остальных случаях проще использовать паяльник.

Ответить | Правка | Наверх | Cообщить модератору

39. "Проект OpenSSH опубликовал план прекращения поддержки DSA" +/–

Сообщение от Аноним (39), 13-Янв-24, 11:09

Именно так написано в оригинальном анонсе "DSA, as specified in the SSHv2 protocol, is inherently weak - being limited to a 160 bit private key and use of the SHA1 digest."

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+9 +/–
Сообщение от Аноним (1), 12-Янв-24, 12:48
Астрологи объявили проблемы с доступом к древнему железу на лето
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+3 +/–
	Сообщение от Астролог (?), 12-Янв-24, 12:52
	Древнее железо самостоятельно накатит на себя свежий OpenSSH?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+4 +/–
	Сообщение от Аноним (4), 12-Янв-24, 13:10
	клиент сломается
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	–3 +/–
	Сообщение от User (??), 12-Янв-24, 13:37
	У любителей "с-лопаты-посвежее"? Ну будет на арче +1 поломка - одной больше, одной меньше - ЦА и не заметит, им не привыкать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от scriptkiddis (?), 13-Янв-24, 09:25
	Закоренелый, успокойся, тебе никто не мешает держать древнее.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от User (??), 13-Янв-24, 10:54
	> Закоренелый, успокойся, тебе никто не мешает держать древнее. Так не я ж кипишую с "Ааааа! все пропало! Самоновейшую железку 2010 года с арча 2025 админить низзя!!!11расрасрас"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	–2 +/–
	Сообщение от Аноним (42), 13-Янв-24, 18:38
	Как сломается? Столлман ночью обновление накатит и старый код отберёт? Или в твоей слаке до сих пор не осилили разные версии софта на одной системе держать?
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	3. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+1 +/–
	Сообщение от pfg21 (ok), 12-Янв-24, 12:53
	астрологи как обычно висят в облаках :) а практики используют то что нужно там где нужно :) древнее железо даже с телнетом можно элементарно закрыть от тырнетика... но астрологи приземленное не видят :)
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	16. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	–1 +/–
	Сообщение от Аноним (1), 12-Янв-24, 16:11
	Разумеется можно, только это никак не отменит того факта что в системе алгоритма нет, а на железке есть, и если железку обновить нельзя, то "придется" сидеть на древней оси чтобы иметь возможность поправить настройки железки, или элементарно перезагрузить.. Тут недавно принесли старый коммутатор управляемый, у которого нет ничего кроме http, задача сбросить настройки и использовать как обычный хаб, вот только там http 0.9 , пришлось доствать какуюто древнюю копию какой-то XP и через интернет эксплорер...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+1 +/–
	Сообщение от Аноним (18), 12-Янв-24, 17:07
	Шо значит алгоритма нет? Этих ssh клиентов как грязи, если уж нужно зайти на древнюю железяку, то можно взять тот же putty или ещё опакетить старую ssh. В общем это не проблема в ближайщие 10-15 лет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от Аноним (21), 12-Янв-24, 18:08
	никто и не говорит, что это фатальная и непреодолимая проблема, но определенное неудобство, хочешь ты на железку, а тебе хрен, вот качай чего-то там, законопачивай в пакет...почему бы например не вынести старые алгоритмы в пакет ssh-legacy и ставить его при необходимости, разумеется можно, но майнтейнеры этим заниматься не будут, разрабы ssh тоже сливаются, дебиановци нашли выход с openssh-client-ssh1, но видимо это будет ssh-v1, или чтото такое, а можно было бы решить на уровне самого ssh, чтобы оно выдавало сообщение, типа хост к которому вы подключаетесь старый хлам, если хотите продолжить доустановите пакет/библиотеку ssh-legacy. Разве это не было бы лучше ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от Rollo99 (ok), 13-Янв-24, 02:54
	Этих неудобств со старым оборудованием уже дофига, +/- еще одно погоды не сделает. Но раньше как-то больше UI и браузеров касалось: SSL, IE, Java 6, Flash. В общем прогресс не стоит на месте.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от Rollo99 (ok), 13-Янв-24, 02:58
	Но думаю, что самой проблемой будет работа с такими устройствами автоматическими системами, которые по SSH к ним подключаются. С какого-то момента придется telnet включать, если есть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	–1 +/–
	Сообщение от scriptkiddis (?), 13-Янв-24, 09:27
	Ну так а чеж ты только тут коментики такие строчишь, а не пошел в мантейнеры openssh чтобы оставить и подерживать этот ssh-legacy? А в прочем и так знаю.
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	35. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	–1 +/–
	Сообщение от нах. (?), 13-Янв-24, 10:00
	потому что за всеми любителями разрушать до основания и построить какое-то г-но - не находишься. Человеческая цивилизация держалась (уже - постфактум) на сотрудничестве а не явном вредительстве.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от Аноним (18), 12-Янв-24, 17:11
	И http 0.9 прекрасно работает в 2.0.17 firefox. Берёшь portable версию под нужную ось и настраиваешь. Опять же не проблема при наличии мозга и рук.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	20. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от Аноним (21), 12-Янв-24, 17:56
	а оригинальный ms-dos запускается на 486 пне спаять который тоже не проблема при наличии.... Вот скажи человече, надо оно мне? фаерфокс 2.0.17 в 2023 тода еще году, если у вас там некромантии храм и вы поклоняетесь мертвым то ради бога, ваши проблемы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+1 +/–
	Сообщение от хрю (?), 12-Янв-24, 22:55
	Ты по-моему уже запутался чего тебе нужно. Если нужно настроить древнюю железяку, то поставить древний фф намного быстрее, чем брать древнюю хп с древним ие.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+2 +/–
	Сообщение от Докерзабастовщик (?), 12-Янв-24, 23:42
	Так ведь никто не мешает использовать для таких дел легковесный контейнер с любой понравившейся обвязкой для или nix-shell. Кажется, что «держать на локалхосте разные версии утилиты» в 2024 году не является проблемой.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	40. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от Всем Анонимам Аноним (?), 13-Янв-24, 16:07
	Еще вариант просто поставить прокси где-то. P.S. (про руки и ум не пишу, потому что эта фраза скорее характеризует пишущего, чем тому, кому написано)
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	5. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+4 +/–
	Сообщение от Lost Inside (ok), 12-Янв-24, 13:27
	Есть мнение, что на сегодняшний день DSA-ключами действительно пользуются только сумасшедшие астрологи.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	8. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+1 +/–
	Сообщение от User (??), 12-Янв-24, 13:38
	Предполагаю, что там где оно есть - это что-то из разряда "как прибили - так и держится"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от tty0 (?), 12-Янв-24, 14:01
	Как прибили, так пол ляма зелени жалко на замену.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от User (??), 12-Янв-24, 14:16
	> Как прибили, так пол ляма зелени жалко на замену. Думаю, нет - так, чтобы железка умела _только_ в DSA-ключи я не помню. Т.е. не то, чтобы я железячник, хорошо знающий эмбеддовку - но вот не видел и пожалуй даже не слышал. А сгенерированные DSA-ключи видел, в том числе и в своем исполнении - правда давнёооохонько то дело было...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от tty0 (?), 28-Янв-24, 15:16
	>> Как прибили, так пол ляма зелени жалко на замену. > Думаю, нет - так, чтобы железка умела _только_ в DSA-ключи я не > помню. Т.е. не то, чтобы я железячник, хорошо знающий эмбеддовку - > но вот не видел и пожалуй даже не слышал. А сгенерированные > DSA-ключи видел, в том числе и в своем исполнении - правда > давнёооохонько то дело было... Привет железкам из 95го от производителей, сотрудничавших с НИСТ (там DSA был верхом совершенства, остальное абсолютный попил)
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	–2 +/–
Сообщение от Аноним (6), 12-Янв-24, 13:34
> затраты на продолжение сопровождения небезопасного алгоритма DSA врунишки. Затраты на сопровождение еще одного варианта параметра для вызова openssl равны нулю. > Пользователи, которым необходима поддержка DSA на стороне > клиента, смогут использовать альтернативные сборки прошлых > веток OpenSSH со всеми багами и уязвимостями (никак не привязанными к DSA) которые никто не собирается исправлять а половина из них и неизвестна никому кроме _уважаемых_. Вот это-то точно надежно и безопастно, не то что просто не трогать работающий код.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от User (??), 12-Янв-24, 13:42
	make OPENSSL=no году в 2015 появилась, так-то.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от нах. (?), 13-Янв-24, 09:49
	Ничего что при такой сборке не то что dsa, а вообще ни один алгоритм кроме карманных djbшных не поддерживается в принципе? Секьюрить!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от User (??), 13-Янв-24, 10:52
	> Ничего что при такой сборке не то что dsa, а вообще ни > один алгоритм кроме карманных djbшных не поддерживается в принципе? Секьюрить! Не то, чтобы в этом было что-то плохое... Хотя нет, протокол, завязанный на один единственный алгоритм (Кто сказал "вайргард"?!) - не есть гут, но openssl'ные "миллион возможностей выстрелить себе в ногу" тоже не оч-то.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Проект OpenSSH опубликовал план прекращения поддержки DSA"	+/–
	Сообщение от нах. (?), 13-Янв-24, 11:03
	> но openssl'ные "миллион возможностей выстрелить себе в ногу" тоже не оч-то. к сожалению, "разработчики" openssh всегда были сильны в FUD а не в крипто. Все на что их хватило в далеком 2003м - это выпилить-выпилить непонятные и сложные им криптореализации Йлонена и запилить интерфейсик к openssl (причем - к тогдашней, ужос-ужос). Ну вот теперь у них есть еще один, упрощенный, к nacl (творчески переосмысленной но это все еще она) - снова не они писали, там сплошная копипаста. В результате нет ни совместимости с другими реализациями, ни гарантий что там не всплывет какой-нибудь способ свести всю секьюрити к xor'ам. Уж лучше оставить openssl - теперь это единственный доступный выбор. (ну и в принципе - авторизация по сертификатам в конечном итоге все же лучше чем предлагаемые альтернативы, а она уж точно без openssl нереальна)
	Ответить \| Правка \| Наверх \| Cообщить модератору