OpenSSH ประกาศถอดโค้ดกุญแจ DSA ออกทั้งหมดต้นปี 2025

by lew
11 January 2024 - 15:38

OpenSSH ซอฟต์แวร์ควบคุมเครื่องระยะไกลประกาศแนวทางการยกเลิกรองรับกุญแจล็อกอินแบบ DSA (Digital Signature Algorithm) โดยกุญแจแบบ DSA นี้เป็นกุญแจล็อกอินที่ OpenSSH ใช้ตั้งแต่เวอร์ชั่นแรกเมื่อ OpenSSH ตั้งแต่ปี 1999 หรือ 24 ปีที่แล้ว โดยโค้ดทั้งหมดจะถูกถอดออกภายในต้นปี 2025

DSA ถูกปิดเป็นค่าเริ่มต้นตั้งแต่ OpenSSH 7.0 เมื่อปี 2015 ภายในเดือนมีนาคมทาง OpenSSH จะเพิ่มออปชั่น compile time เพื่อให้ดิสโทรต่างๆ สามารถเลือกคอมไพล์แบบไม่มีโค้ดกุญแจ DSA เลย และภายในกลางปีนี้จะตั้งค่าออปชั่นนี้ปิดเป็นค่าเริ่มต้น และสุดท้าย ในเวอร์ชั่นแรกของปี 2025 จะถอดโค้ดส่วนนี้ออกไปทั้งหมด

DSA เป็นกระบวนการเซ็นลายเซ็นดิจิทัลแบบ public/private key ที่เป็นมาตรฐาน NIST ตั้งแต่ปี 1991 ผู้ออกแบบคือ NSA ตัวกุญแจออกแบบไว้ให้มีขนาดกุญแจ 160 บิต แต่เนื่องจากใช้กระบวนการแฮชแบบ SHA1 ทำให้ความแข็งแกร่งโดยรวมเหลือเพียงไม่ถึง 80 บิตเท่านั้น ซึ่งทำให้การปลอมกุญแจทำได้ง่าย

ตัว OpenSSH สร้างกุญแจเป็น RSA เป็นค่าเริ่มต้นมานานแล้ว และเพิ่งเปลี่ยนค่าเริ่มต้นเป็น Ed25519 ไป การถอดโค้ดออกครั้งนี้น่าจะกระทบคนน้อยมากๆ ยกเว้นจะมีเซิร์ฟเวอร์ที่เก่านับสิบปี

ที่มา - OpenSSH-UNIX-Announce

Blognone Jobs Premium