Разработчики OpenSSH опубликовали план прекращения поддержки протокола SSHv1

06.05.2016 08:37

Представлен план полного удаления реализации устаревшего протокола SSHv1 из кодовой базы OpenSSH. Начиная с выпуска OpenSSH 7.0, уже около года поддержка SSHv1 отключена по умолчанию и требует сборки со специальным флагом. Большинство дистрибутивов уже последовали этому изменению и поставляют OpenSSH с выключенным SSHv1. В соответствии с планом, в июньском выпуске OpenSSH 7.3 поддержка SSHv1 останется без изменений. В августе будет сформирован выпуск OpenSSH 7.4, в котором будет удалён код, связанный с использованием SSHv1 на стороне сервера. Возможность использования клиентской части SSHv1 планируется прекратить в июне 2017 года.

Напомним, что протокол SSHv1 был признан устаревшим около 10 лет назад. Кроме недостаточного уровня защиты, сохранение SSHv1 накладывает определённые ограничения на кодовую базу. Например, работа OpenSSH без привязки к библиотеке OpenSSL возможна только при использовании протокола SSHv2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSHv1. Отключение SSHv1 на этапе сборки позволило предоставить возможность поставки в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/44380-ssh

Ключевые слова: ssh, openssh

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (26)

1.1, Аноним (-), 08:46, 06/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как узнать какой алгоритм используется в текущей ssh сессии?

2.3, ТТТ (?), 08:51, 06/05/2016 [^] [^^] [^^^] [ответить]	–1 +/–
С большой вероятностью будет использоваться второй, так как в некоторых случаях первый даже отключен. Полный ответ можно загуглить по "How can I find current ssh protocol version of current connection?", ссылка на superuser.

3.5, Аноним (-), 09:30, 06/05/2016 [^] [^^] [^^^] [ответить]

+/–

> С большой вероятностью будет использоваться второй, так как в некоторых случаях первый
> даже отключен. Полный ответ можно загуглить по "How can I find
> current ssh protocol version of current connection?", ссылка на superuser.

Вопрос был о версии протокола, а не об алгоритме.

Как узнать — с какой стороны? На сервере можно посмотреть логи, а на клиентской, возможно, через консоль управления SSH-клиентом (которая через ~C включается). Ну или запускать с ключом -v.

4.6, Аноним (-), 09:31, 06/05/2016 [^] [^^] [^^^] [ответить]	+1 +/–
>> С большой вероятностью будет использоваться второй, так как в некоторых случаях первый >> даже отключен. Полный ответ можно загуглить по "How can I find >> current ssh protocol version of current connection?", ссылка на superuser. > Вопрос был о версии протокола, а не об алгоритме. В смысле наоборот. :) Прошу прощения.

2.24, OpenVMS (?), 12:07, 09/05/2016 [^] [^^] [^^^] [ответить]	+/–
ssh -v не показывает разве?

1.2, Какаянахренразница (ok), 08:50, 06/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	–9 +/–
> план полного удаления реализации устаревшего протокола Лёгким движением руки OpenSSH превращается ... превращается ... в LibreSSH!!!

2.4, бедный буратино (ok), 09:24, 06/05/2016 [^] [^^] [^^^] [ответить]	+6 +/–
ага, а OpenBSD - в LibreBSD... хватит нести ахинею

3.7, Какаянахренразница (ok), 10:34, 06/05/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Не плакай, никто опёнка не обижает. Я к тому, что Тео сделал точно то же самое (выбросил старые и ненадёжные протоколы, примитивы и пр.), только раньше.

2.8, Crazy Alex (ok), 11:09, 06/05/2016 [^] [^^] [^^^] [ответить]	+/–
Ну вот разница в том, что одни это делают в прыжке, а другие - дают год, чтобы все заинтересованные поготовились, с массой анонсов происходящего.

1.9, eRIC (ok), 14:23, 06/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Годно, давно пора OpenSSH'у работать независимо от OpenSSL(который очень часто патчится)

2.10, бедный буратино (ok), 14:51, 06/05/2016 [^] [^^] [^^^] [ответить]	+/–
в OpenBSD оно без openssl работает: # openssl version LibreSSL 2.3.4

1.11, Pilat (ok), 05:42, 07/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, как коннектиться будем к SSHv1 устройствам...

2.12, alex (??), 07:06, 07/05/2016 [^] [^^] [^^^] [ответить]	–1 +/–
интересно сколько таких осталось на Земле? если даже на запущенных хз сколько лет назад и улетевших за пределы Солнечной системы аппаратах прошивки обновляют

3.13, Pilat (ok), 07:22, 07/05/2016 [^] [^^] [^^^] [ответить]	+/–
> интересно сколько таких осталось на Земле? > если даже на запущенных хз сколько лет назад и улетевших за пределы > Солнечной системы аппаратах прошивки обновляют Да миллионы.

4.14, alex (??), 07:54, 07/05/2016 [^] [^^] [^^^] [ответить]	+/–
я вот ни разу не встречал. sshv2 - сотни, а v1 - ни одного, даже обидно. можно конкретные примеры? чисто для удовлетворения любопытства - как оно выглядит да и кто запрещает сохранить сейчас исходники sshv1 клиента, чтобы в будущем было чем пользоваться?

5.15, Pilat (ok), 07:59, 07/05/2016 [^] [^^] [^^^] [ответить]	+/–
> я вот ни разу не встречал. sshv2 - сотни, а v1 - > ни одного, даже обидно. > можно конкретные примеры? чисто для удовлетворения любопытства - как оно выглядит > да и кто запрещает сохранить сейчас исходники sshv1 клиента, чтобы в будущем > было чем пользоваться? Да все linux-системы и аппаратура, выпущенные до 200-го года примерно.

6.17, alex (??), 10:07, 07/05/2016 [^] [^^] [^^^] [ответить]	+/–
до 200-го года аппаратура работала на дровах, а если не на дровах - то это магия и на горящие дрова помещали автора :-)

3.16, nikosd (ok), 08:28, 07/05/2016 [^] [^^] [^^^] [ответить]	+/–
Для обновления прошивки она должна существовать (: Есть пара железок в локалке, которые не умеют телнет и просят ssh первой версии.

4.18, alex (??), 10:11, 07/05/2016 [^] [^^] [^^^] [ответить]	+/–
может вы назовёте модель? хочется взглянуть на это чудо работающее второй десяток лет и приносящее пользу и радость

5.20, Аноним (-), 01:50, 09/05/2016 [^] [^^] [^^^] [ответить]	+/–
Еще айпишник пусть скажет.

5.22, zanswer (?), 06:15, 09/05/2016 [^] [^^] [^^^] [ответить]	+/–
У меня UPS, поддерживают только SSHv1, в прочем это не большая проблема конечно, не так часто приходиться к ним подключаться через удалённую консоль, можно и Web Console для такого случая включить.

6.23, Михрютка (ok), 09:30, 09/05/2016 [^] [^^] [^^^] [ответить]	+/–
> У меня UPS, поддерживают только SSHv1, в прочем это не большая проблема > конечно, не так часто приходиться к ним подключаться через удалённую консоль, > можно и Web Console для такого случая включить. которая перестала работать с современными браузерами еще раньше.

7.25, zanswer (?), 21:00, 09/05/2016 [^] [^^] [^^^] [ответить]	+/–
Да, есть такое дело, но, IE, пока ещё доступен в Windows 10, а там возможно, новое оборудование всё же обновят, для поддержки SSHv2.

8.30, Михрютка (ok), 23:31, 10/05/2016 [^] [^^] [^^^] [ответить]	+/–
как я уже говорил, я это решил, просто взяв старый ESR релиз FF, 17-й по-моему в... текст свёрнут, показать

5.31, nikosd (ok), 15:47, 13/05/2016 [^] [^^] [^^^] [ответить]

+/–

> может вы назовёте модель? хочется взглянуть на это чудо работающее второй десяток
> лет и приносящее пользу и радость

IP без проблем
90.254.200.10 - Это для нас фейковая сеть. Модель- а фиг его знает, производитель RAD SDH модем, если кто скажет как его спросить точную модель выложу вывод.
А еще у меня в сети 2508 трудятся консольными серверами - есть желающие завести там полнеценный SSH2 ? (опять же - они стоят в приватной сети, SSH Это привычка )

1.19, Аноним (-), 20:10, 08/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Печально. На cisco 2511 только sshv1, а она ведь отличная консолька на кучу железа в серверной. Вот уроды, теперь менять её придётся ибо не всегда будет старый openssh клиент под рукой.

2.21, Аноним (-), 01:51, 09/05/2016 [^] [^^] [^^^] [ответить]

+/–

> Печально. На cisco 2511 только sshv1, а она ведь отличная консолька на
> кучу железа в серверной. Вот уроды, теперь менять её придётся ибо
> не всегда будет старый openssh клиент под рукой.

Вот и спроси у сиски не хочет ли сиска обновить прошивку. Пусть сиска и поддерживает вечно всякую проприетарщину.

3.28, Аноним (-), 10:34, 10/05/2016 [^] [^^] [^^^] [ответить]	+/–
А зачем ей, вот вы продали продукт, через 10 лет к вам приходят и говорят, мужик, не работает в продаваемых версиях win* ( даже из исходиников не компилится ), будь добр обнови чтоб заработало :)

1.26, Аноним (26), 22:07, 09/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
О российской криптографии в OpenSSH http://soft.lissi.ru/products/vpn/foxssh/

2.27, Andrey Mitrofanov (?), 22:56, 09/05/2016 [^] [^^] [^^^] [ответить]

+/–

> О российской криптографии в

Мне просто интересно, перечислите, пожалуйста, случаи, когда "российская криптография" нужна? Ну, пока без экстремизма, когда значение Пи в военное время принимается равным 4.

Какие из этих случаев _хоть_ как-то затрагивают аудиторию этого сайта? А без публикуемых в апстриме патчей -- просто сухим языком SMS и линк-спама?...

3.29, Аноним (-), 10:36, 10/05/2016 [^] [^^] [^^^] [ответить]	+/–
>> О российской криптографии в > Мне просто интересно, перечислите, пожалуйста, случаи, когда "российская криптография" > нужна? Ну, пока без экстремизма, когда значение Пи в военное время > принимается равным 4. > Какие из этих случаев _хоть_ как-то затрагивают аудиторию этого сайта? А без > публикуемых в апстриме патчей -- просто сухим языком SMS и линк-спама?... В логах сервера наблюдал попытку коннекта с GOSTRxxx заинтересовало даже.

Добавить комментарий

Текст: