OpenSSH gaat over een jaar support voor DSA-keys verwijderen
OpenSSH gaat over een jaar de support voor DSA-keys verwijderen, zo heeft het ontwikkelteam aangekondigd. Het Digital Signature Algorithm (DSA) is een algoritme dat onder andere wordt gebruikt voor SSH key pairs waarmee gebruikers zich via SSH kunnen authenticeren.
OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren. Al in 2015 besloot het OpenSSH-team om DSA standaard uit te schakelen, omdat het van een 160 bit private key 'te zwak' is. Destijds werd ook het gebruik afgeraden. OpenSSH heeft DSA echter altijd ondersteund, ook al zijn er veel betere alternatieven voorhanden.
Op dit moment zouden volgens het ontwikkelteam alleen legacy apparaten nog van DSA gebruikmaken. Het team vindt de kosten voor de ondersteuning van DSA dan ook niet meer gerechtvaardigd. Daarom is besloten de support voor DSA volledig te verwijderen, wat begin 2025 moet plaatsvinden. "We hopen dat het verwijderen van dit onveilige algoritme door OpenSSH de uitfasering ervan in andere SSH-implementaties versnelt en ervoor zorgt dat beheerders van crypto-libraries het ook kunnen verwijderen", zegt Damien Miller van OpenSSH.
Volgens Miller is er inmiddels genoeg tijd verstreken sinds DSA standaard werd uitgeschakeld waardoor de meeste gebruikers er geen gebruik meer van maken. Daarnaast kijkt het ontwikkelteam ook naar een post-quantum signature algoritme en wil het rekening houden met de complexiteit en omvang van de key/signature code. Voor systemen die het gebruik van DSA vereisen adviseert Miller het gebruik van oudere OpenSSH-versies.
RSA is standaard in Puttygen en ssh-keygen. EC is nog lang niet ingeburgerd.
Postquantum staat nog in de kinderschoenen, dus dat is nu geen redelijk alternatief.
Als je met ssh-keygen doelt op OpenSSH is dat niet (meer) waar. Sinds versie 9.5 is Ed25519 de standaard.
Want SSH1 was met RSA, maar default was geloof ik SSH2 met DSA.
En welke producten gaan nog meer op de fles op deze manier..
het was al een drama met browser crypto's selecteren die 'goedgekeurd' waren door reverse proxy fabrikanten, NSA en andere clubs maar straks kom je EN niet meer op de GUI EN niet meer op de command line zo..
Want SSH1 was met RSA, maar default was geloof ik SSH2 met DSA.
En welke producten gaan nog meer op de fles op deze manier..
Het geldt voor meer klein 'embedded' spul dat lang leeft en waarvan je blij mag zijn _dat_ encryptie kan.
UPSen en remote power switches zijn ook zo iets.
Het is soms wel rete irritant wat je moet doen om dat soort intern spul bereikbaar te houden.
De oude iLO/drac kaarten zijn ook berucht - een hoop plekken hebben ergens een VM met stokoud systeem om Java- browser plugin te kunnen gebruiken.
het was al een drama met browser crypto's selecteren die 'goedgekeurd' waren door reverse proxy fabrikanten, NSA en andere clubs maar straks kom je EN niet meer op de GUI EN niet meer op de command line zo..
Want SSH1 was met RSA, maar default was geloof ik SSH2 met DSA.
En welke producten gaan nog meer op de fles op deze manier...
Ten tweede wil ik erop wijzen dat je de link naar de aankondiging van OpenSSH in het artikel maar hoeft te volgen om een uitleg te vinden van wat je kan doen als je met dergelijke apparaten werkt.
(Er worden regelmatig vragen gesteld waarop het antwoord te vinden is door domweg de links in een artikel te volgen en te kijken wat daar staat. Het lijkt wel alsof heel wat mensen totaal niet in de gaten hebben dat een nieuwsartikel niet de volledige informatie geeft en dat bronnen vaak uitgebreider zijn. Of misschien niet doorhebben dat ze zelf de nieuwsgierigheid zouden kunnen opbrengen om naar de informatie te gaan zoeken die ze nodig hebben. Tip voor die mensen: als je je iets afvraagt is het tijd om zelf op links in artikelen te gaan klikken, en als dat je niet verder helpt zoekopdrachten te lanceren. Informatie is vaak helemaal niet zo moeilijk te vinden.)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
