OpenSSH gaat over een jaar support voor DSA-keys verwijderen
OpenSSH gaat over een jaar de support voor DSA-keys verwijderen, zo heeft het ontwikkelteam aangekondigd. Het Digital Signature Algorithm (DSA) is een algoritme dat onder andere wordt gebruikt voor SSH key pairs waarmee gebruikers zich via SSH kunnen authenticeren.
OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren. Al in 2015 besloot het OpenSSH-team om DSA standaard uit te schakelen, omdat het van een 160 bit private key 'te zwak' is. Destijds werd ook het gebruik afgeraden. OpenSSH heeft DSA echter altijd ondersteund, ook al zijn er veel betere alternatieven voorhanden.
Op dit moment zouden volgens het ontwikkelteam alleen legacy apparaten nog van DSA gebruikmaken. Het team vindt de kosten voor de ondersteuning van DSA dan ook niet meer gerechtvaardigd. Daarom is besloten de support voor DSA volledig te verwijderen, wat begin 2025 moet plaatsvinden. "We hopen dat het verwijderen van dit onveilige algoritme door OpenSSH de uitfasering ervan in andere SSH-implementaties versnelt en ervoor zorgt dat beheerders van crypto-libraries het ook kunnen verwijderen", zegt Damien Miller van OpenSSH.
Volgens Miller is er inmiddels genoeg tijd verstreken sinds DSA standaard werd uitgeschakeld waardoor de meeste gebruikers er geen gebruik meer van maken. Daarnaast kijkt het ontwikkelteam ook naar een post-quantum signature algoritme en wil het rekening houden met de complexiteit en omvang van de key/signature code. Voor systemen die het gebruik van DSA vereisen adviseert Miller het gebruik van oudere OpenSSH-versies.
RSA is standaard in Puttygen en ssh-keygen. EC is nog lang niet ingeburgerd.
Postquantum staat nog in de kinderschoenen, dus dat is nu geen redelijk alternatief.
Als je met ssh-keygen doelt op OpenSSH is dat niet (meer) waar. Sinds versie 9.5 is Ed25519 de standaard.
Want SSH1 was met RSA, maar default was geloof ik SSH2 met DSA.
En welke producten gaan nog meer op de fles op deze manier..
het was al een drama met browser crypto's selecteren die 'goedgekeurd' waren door reverse proxy fabrikanten, NSA en andere clubs maar straks kom je EN niet meer op de GUI EN niet meer op de command line zo..
Want SSH1 was met RSA, maar default was geloof ik SSH2 met DSA.
En welke producten gaan nog meer op de fles op deze manier..
Het geldt voor meer klein 'embedded' spul dat lang leeft en waarvan je blij mag zijn _dat_ encryptie kan.
UPSen en remote power switches zijn ook zo iets.
Het is soms wel rete irritant wat je moet doen om dat soort intern spul bereikbaar te houden.
De oude iLO/drac kaarten zijn ook berucht - een hoop plekken hebben ergens een VM met stokoud systeem om Java- browser plugin te kunnen gebruiken.
het was al een drama met browser crypto's selecteren die 'goedgekeurd' waren door reverse proxy fabrikanten, NSA en andere clubs maar straks kom je EN niet meer op de GUI EN niet meer op de command line zo..
Want SSH1 was met RSA, maar default was geloof ik SSH2 met DSA.
En welke producten gaan nog meer op de fles op deze manier...
Ten tweede wil ik erop wijzen dat je de link naar de aankondiging van OpenSSH in het artikel maar hoeft te volgen om een uitleg te vinden van wat je kan doen als je met dergelijke apparaten werkt.
(Er worden regelmatig vragen gesteld waarop het antwoord te vinden is door domweg de links in een artikel te volgen en te kijken wat daar staat. Het lijkt wel alsof heel wat mensen totaal niet in de gaten hebben dat een nieuwsartikel niet de volledige informatie geeft en dat bronnen vaak uitgebreider zijn. Of misschien niet doorhebben dat ze zelf de nieuwsgierigheid zouden kunnen opbrengen om naar de informatie te gaan zoeken die ze nodig hebben. Tip voor die mensen: als je je iets afvraagt is het tijd om zelf op links in artikelen te gaan klikken, en als dat je niet verder helpt zoekopdrachten te lanceren. Informatie is vaak helemaal niet zo moeilijk te vinden.)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.