форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
Сообщение от opennews (??) on 25-Мрт-15, 09:05
Разработчики OpenSSH сообщили (http://marc.info/?l=openbsd-tech&m=142716088814469&w=2) о переходе к сборке OpenSSH с отключенной по умолчанию поддержкой протокола SSH-1. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для использования. Кроме того, работа OpenSSH без OpenSSL возможна только  при использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL. Кроме того, можно отметить заметку (https://plus.google.com/+ArjanvandeVen/posts/VAK1SRHjTZm) Арьяна ван де Вена (Arjan van de Ven), известного разработчика Linux из компании Intel, в которой поднимается тема трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования. Эксперимент по полному изъятию алгоритмов RC4 и DES на этапе сборки привёл к неудаче. Во первых, попытка сборки OpenSSL без кода RC4 и DES привела к ошибки компиляции, а во вторых, в дистрибутиве оказалось достаточное число пакетов, которые требуют  RC4 и DES в качестве зависимостей. Как правило, поддержка устаревших алгоритмов в пакетах присутствует в качестве опции и отключаема, но это требует большой рутинной работы по пересмотру параметров сборки пакетов и тестированию возможных регрессий. В настоящее время в дистрибутивах продолжают поддерживаться различные ненадёжные алгоритмы шифрования, которые становятся своего рода миной замедленного действия. Стопроцентную уверенность в том, что эти алгоритмы не будут задействованы для атак, манипулирующих откатом к менее надёжным методам шифрования, может дать их полное отключение на этапе сборки. Иначе будут продолжать всплывать атаки, подобные FREAK (https://www.opennet.ru/opennews/art.shtml?num=4178), в которой смена шифра RSA на RSA_EXPORT позволяет выполнить дешифровку трафика. URL: http://undeadly.org/cgi?action=article&sid=20150324200217 Новость: https://www.opennet.ru/opennews/art.shtml?num=41907
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

3. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
Сообщение от Аноним (??) on 25-Мрт-15, 09:33
Кстати, cebka презентацию рассказывал https://events.yandex.ru/lib/talks/2693/, там тоже касался libressl и сборки софта без openssl (!DES). Довольно интересно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+1 +/–
	Сообщение от Аноним (??) on 25-Мрт-15, 09:35
	запятая все испортила. https://events.yandex.ru/lib/talks/2693/
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	19. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	–1 +/–
	Сообщение от Аноним (??) on 25-Мрт-15, 16:57
	Скорее было бы уместнее рассматривать сборку софта без использования OpenSSL. До опеночников наконец доползло каким г-ном OpenSSL является и насколько там "компетентные" разработчики. А пользоваться в 2015 году DES - это примерно как рассекать в потоке на автостраде используя старую клячу.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	31. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Аноним (??) on 25-Мрт-15, 18:59
	> Скорее было бы уместнее рассматривать сборку софта без использования OpenSSL. До опеночников > наконец доползло каким г-ном OpenSSL является и насколько там "компетентные" разработчики. Знали-то и раньше. Но форкать не решались, это ведь не libvasyapupkin, а весьма распространённая библиотека.  Обходились собственными патчами, далеко не все из которых принимались в апстрим. Сейчас LibreSSL занимается как минимум четверо человек, плюс патчи идут со стороны. Если бы форк сделали раньше, не факт, что заинтересованности/поддержки со стороны сообщества хватило бы.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	36. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Аноним (??) on 25-Мрт-15, 22:04
	> весьма распространённая библиотека. Не очень понимаю эту манию наедаться г-ном досыта. Грабельная либа под проблемной лицензией, с авторами которые вообще не криптографы ни разу. Зачем народ в такое вляпывается - загадка природы. > Сейчас LibreSSL занимается как минимум четверо человек, C учетом сложности SSL/TLS, завалов легаси, дурного апи и уймы останков для совместимости с допотопным шитом, команда из 4 человек на такой проект - это примерно как строительство космодрома аж четырьмя таджиками. Да и вообще, все кто в это вляпался, как и вообще в TLS - будут обречены на постоянный гемоppoй. > факт, что заинтересованности/поддержки со стороны сообщества хватило бы. Самое разумное что сделали в openssh - сборку беэ крапа с названием "OpenSSL" вообще.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

	39. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+1 +/–
	Сообщение от Ivan_83 on 25-Мрт-15, 22:36
	>> Сейчас LibreSSL занимается как минимум четверо человек, > C учетом сложности SSL/TLS, завалов легаси, дурного апи и уймы останков для > совместимости с допотопным шитом, команда из 4 человек на такой проект > - это примерно как строительство космодрома аж четырьмя таджиками. Да и > вообще, все кто в это вляпался, как и вообще в TLS > - будут обречены на постоянный гемоppoй. Ты преувеличиваешь сложность. Это инженерная задача: цель есть, нужно придумать и сделать. Я самолично за 5 месяцев неспешных разбирательств въехал с нуля в ECDSA и запилил код с нуля. Мат образования у меня нет, и этот предмет мне легко не давался. Код выдаёт во всех тестах ровно то что и должен. Им же даже с нуля пилить не надо, и багаж знаний у них есть.
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

	41. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Аноним (??) on 26-Мрт-15, 03:15
	>> весьма распространённая библиотека. > Не очень понимаю эту манию наедаться г-ном досыта. Грабельная либа под проблемной > лицензией, с авторами которые вообще не криптографы ни разу. Зачем народ > в такое вляпывается - загадка природы. И всё же что-то мешало остальным (включая комментаторов на Опеннете) сделать лучше... >> Сейчас LibreSSL занимается как минимум четверо человек, > C учетом сложности SSL/TLS, завалов легаси, дурного апи и уймы останков для > совместимости с допотопным шитом, команда из 4 человек на такой проект > - это примерно как строительство космодрома аж четырьмя таджиками. Да и > вообще, все кто в это вляпался, как и вообще в TLS > - будут обречены на постоянный гемоppoй. ... но тут вы противоречите сами себе. Если задача сложная - что удивительного в том, что используется хоть какое-то решение, ведь альтернатива - никакого? >> факт, что заинтересованности/поддержки со стороны сообщества хватило бы. > Самое разумное что сделали в openssh - сборку беэ крапа с названием > "OpenSSL" вообще. Де-факто она там была уже несколько лет, но в portable-версии её не включали во избежание проблем в даунстриме. Как ни странно, некоторые открытые проекты без большого коммерческого брата за спиной действительно об этом думают. :) И, кстати, это отвечает ещё и на исходный вопрос - почему OpenSSL? Да потому что кардинально менять API никто не решался. А без этого - конечная цель (написание вменяемой криптолибы под доступной для всех лицензией) была не достижима. Кто бы взялся за переделывание тысяч проектов, использующих OpenSSL? Не вы и не я точно.
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

5. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	–3 +/–
Сообщение от Нанобот (ok) on 25-Мрт-15, 10:10
>Кроме того, можно отметить заметку Арьяна ван де Вена Кроме того, можно отметить никак не связанную с этой новостью заметку Арьяна ван де Вена
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+2 +/–
	Сообщение от YetAnotherOnanym (ok) on 25-Мрт-15, 10:53
	> Кроме того, можно отметить напрямую связанную с этой новостью заметку Арьяна ван де Вена Не благодари.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
Сообщение от Сергей (??) on 25-Мрт-15, 10:14
Может конечно и надо из SSh удалить код, но может проще протокол 1 сделать не активным по дефолту, а так я на протяжении как только появился ghjnjrjk 2 его только и включаю...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
Сообщение от mike_t on 25-Мрт-15, 11:18
это касается только сервера или клиента тоже? у меня куча железа ssh 1 only :(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от _KUL (ok) on 25-Мрт-15, 12:15
	Так собирай с включением не по умолчанию, делов то.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	25. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Аноним (??) on 25-Мрт-15, 17:02
	> Так собирай с включением не по умолчанию, делов то. Главное еще порт не забыть пробросить наружу. Иначе товарищмайор из NSA будет ругаться на возню с обходом файрвола.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	10. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от близняшко on 25-Мрт-15, 13:05
	зависит от дистрибутива, обычно клиент и сервер - разные пакеты зависимые друг-от-друга. но вот смотри, твои сервера ходят клиентами на твой новый сервер с sshd без планируемого протокола ssh1? если да, то тут ты попал. если нет, старое железо с sshd, оставь себе  старый клиент (или путти например ха-ха-ха). наверняка в таком барахле по-дефолту работает телнет, а ссш - фича за отдельную секурити лицензию.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Аноним (??) on 25-Мрт-15, 13:09
	Смени прошивку ;) Dropbear - SSH-2 only.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	24. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	–1 +/–
	Сообщение от Аноним (??) on 25-Мрт-15, 17:01
	> Смени прошивку ;) > Dropbear - SSH-2 only. А заодно теперь вы понимаете, почему фэйсбук припекло свои коммутаторы и BMC выпускать. Не нравится им, когда кто попало без спроса по их инфраструктуре шарится. А вы цепляйтесь за ssh1, цепляйтесь. NSA нужны идиoты в других странах! ;)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	34. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	–1 +/–
	Сообщение от Xasd (ok) on 25-Мрт-15, 21:43
	кстати хотел узнать -- а Facebook разве не является ли той организацией, которая в ходит в список организаций, кто сотрудничает с NSA и добровольно делится всей запрашиваемой информаций? зачем NSA что-то взламывать, если им проще напрямую у Facebook запросить? :)
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	37. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Аноним (??) on 25-Мрт-15, 22:25
	> зачем NSA что-то взламывать, если им проще напрямую у Facebook запросить? :) Ну так одно дело если NSA у тебя контролируемо просит, и другое - если они просто в режиме гопника делают у тебя в инфраструктуре что хотят.
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

	43. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Аноним (??) on 26-Мрт-15, 18:59
	А ну то есть ты думаешь что NSA просит? :) Такие дятлы - просто клад, вас будут окучивать до самой смерти, а может и даже и после.
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	20. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Аноним (??) on 25-Мрт-15, 16:58
	> у меня куча железа ssh 1 only :( Ну, радуйся: тебя поимело NSA.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	–4 +/–
Сообщение от клоун on 25-Мрт-15, 14:51
> Во первых, попытка сборки OpenSSL без кода RC4 и DES привела к ошибке компиляции Закомментил кусок кода, нажал Compile, получил ошибку, запостил новость "Я, Арьяна ван де Вена (Arjan van de Ven), известный разработчик Linux из компании Intel, в который раз поднимаю тему трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования. Проведённый Мною сегодня эксперимент по избавлению от *** окончился неудачей. Разбираться в причинах Я не стану, т.к. это требует от Меня большой работы." Профессионал... Может м-дак?.. Нет, профессионал...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Crazy Alex (ok) on 25-Мрт-15, 15:02
	И правильно. Он сделал первую часть - показал, где есть проблема. И за это ему спасибо. если бы он нашёл как её решить и приложил патч - было бы отдельное спасибо, но и то, что есть - уже хорошо. Дальше этим займётся маинтайнер и при необходимости дело дойдёт до апстрима. Как-то так оно и работает, на сотрудничестве - каждый делает тот кусок, который для него в данный момент приемлем. Но нет, клоуну надо поругаться (впрочем, мы все знаем почему) - ему надо чтобы мёд, да ещё ложкой.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	15. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	–2 +/–
	Сообщение от клоун on 25-Мрт-15, 15:23
	- Вовочка, как?? Ты же всегда только и говорил что "Я не хочу". - Я и сейчас всегда так говорю, но вначале добавляю "Я, Арьяна ван де Вена (Arjan van de Ven), известный разработчик Linux из компании Intel, в который раз поднимаю тему трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования." И да, лучше жрать большой ложкой мёд, чем маленькой г-вно. И дело здесь не в размере ложки :-).
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	17. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+4 +/–
	Сообщение от Аноним (??) on 25-Мрт-15, 16:25
	> И да, лучше жрать большой ложкой мёд, чем маленькой г-вно. И дело > здесь не в размере ложки :-). И по этому ты жрёшь "г-вно" большой ложкой? Клованская мутагенная логика ...
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	29. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Аноним (??) on 25-Мрт-15, 18:32
	> И по этому ты жрёшь "г-вно" большой ложкой? Клованская мутагенная логика ... У него есть забойный аргумент: взять ложку побольше - проще чем сделать из г-на мед.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	35. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	–1 +/–
	Сообщение от клоун on 25-Мрт-15, 21:52
	Лучше так, чем отказываться от мёда и жрать г-вно только потому, что оно "свободное" и "выпущено" не корпорастами, а пролетарием.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	28. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Crazy Alex (ok) on 25-Мрт-15, 18:23
	Ещё раз, специально для клоунов. Если человек чем-то помог - например, указал на ранее не замеченную проблему, то нормальные люди за это благодарят. А вот идиоты и сволочи - начинают хамить.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	32. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Нанобот (ok) on 25-Мрт-15, 19:20
	Да практически в любом софте возникнут могут возникнуть проблемы со сборкой, если собирать его с редкоиспользуемыми флагами. Обычно это не так сложно поправить и совсем необязательно по таким мелочам падать на землю, бить ножками по земле и реветь "нисабираааицца"
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	33. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+/–
	Сообщение от Crazy Alex (ok) on 25-Мрт-15, 20:22
	Ты что, дистры не знаешь? Ёж - птица гордая, пока не пнёшь - не полетит. А суть крика - как раз в том, что не должно это быть редкоиспользуемым флагом, а как бы не дефолтом.
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

14. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	–1 +/–
Сообщение от Аноним (??) on 25-Мрт-15, 15:09
Хотет в генте юзовую переменную на этот счёт (наподобие CPU_FLAGS_X86), например CYPHER_ALGORITHMS , чтобы можно было сразу во всех возможных пакетах поотрубать ненужное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	27. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+1 +/–
	Сообщение от Я (??) on 25-Мрт-15, 17:06
	Для этого уже есть юзфлаги. Делать 9000 переменных и разносить флаги по ним это как-то костыльно. Хотя может в будущем придумают что-нибудь типа одной переменной, но чтобы флаги указывались с категориями.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	30. "В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности ..."	+2 +/–
	Сообщение от Аноним (??) on 25-Мрт-15, 18:33
	> CYPHER Ммм..да, вас к криптографии лучше не подпускать на дальность полета баллистической ракеты.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема