OpenSSH deaktiviert DSA-Schlüssel bis 2025: Mehr Sicherheit für SSH

OpenSSH, das Projekt, das für die Entwicklung und Wartung des Open-Source-SSH-Protokolls verantwortlich ist, hat angekündigt, die Unterstützung für DSA-Schlüssel zu deaktivieren. Das OpenSSH-Projekt hat einen Zeitplan und Informationen zum Ablauf der Deaktivierung bereitgestellt. Laut den Entwicklern ist geplant, DSA bis Januar 2025 vollständig zu deaktivieren.

Die Entscheidung, DSA zu deaktivieren, basiert auf Sicherheitsbedenken. DSA ist von Natur aus anfällig, wie in der Spezifikation im SSHv2-Protokoll festgelegt. Der Algorithmus verwendet einen 160-Bit-Schlüssel und basiert auf dem unsicheren SHA1-Digest. Dies entspricht einer Sicherheitsstufe von etwa 80 Bit des entsprechenden symmetrischen Verfahrens.

Bereits seit 2015 deaktiviert OpenSSH standardmäßig die Verwendung von DSA-Schlüsseln, bietet jedoch weiterhin optionale Unterstützung dafür an. Dies liegt daran, dass DSA der einzige Algorithmus ist, der gemäß den SSHv2-RFCs verpflichtend implementiert werden muss. In der Entwicklung und Spezifikation des SSHv2-Protokolls waren alternative Algorithmen aufgrund von Patenten belastet. Im Vergleich dazu ist RSA nicht beeinträchtigt und genießt allgemeine Unterstützung. ECDSA bietet deutliche Vorteile in Bezug auf Leistung und Sicherheit im Vergleich zu modp DSA, während EdDSA zusätzliche Verbesserungen in Bezug auf Leistung und Sicherheit bietet.

Zu diesem Zeitpunkt sind veraltete Geräte die einzige noch bestehende Verwendung von DSA. Das OpenSSH-Projekt argumentiert daher, dass es nicht mehr gerechtfertigt ist, DSA in OpenSSH aufrechtzuerhalten. Darüber hinaus hofft man, dass die Entfernung dieses unsicheren Algorithmus in OpenSSH andere SSH-Implementierungen dazu ermutigen wird, dasselbe zu tun, und den Entwicklern von Kryptographie-Bibliotheken ermöglicht, ebenfalls DSA zu entfernen.

Das OpenSSH-Projekt beabsichtigt, DSA in der nächsten Version von OpenSSH als optionale Funktion zur Kompilierzeit einzuführen. Dies wird voraussichtlich im März geschehen, wobei DSA standardmäßig weiterhin aktiviert bleibt. Benutzer und Distributoren von OpenSSH haben dann die Möglichkeit, diese Option zu verwenden, um die Auswirkungen der DSA-Entfernung in ihren Umgebungen zu untersuchen oder es frühzeitig abzuschaffen, falls gewünscht.

Im Juni wird ein OpenSSH-Release die Standardvoreinstellung zur Kompilierzeit ändern, um DSA zu deaktivieren. Es besteht jedoch immer noch die Möglichkeit, DSA bei Bedarf zu aktivieren. Mit dieser Änderung hofft das OpenSSH-Projekt auf eine erhöhte Sicherheit und eine einheitliche Entfernung von DSA in SSH-Implementierungen und Kryptographie-Bibliotheken.

Die Deaktivierung von DSA in OpenSSH ist ein wichtiger Schritt zur Stärkung der Sicherheit von SSH-Verbindungen. Benutzer und Administratoren sollten sich über die Auswirkungen dieser Änderung bewusst sein und gegebenenfalls Maßnahmen ergreifen, um ihre Systeme auf alternative Algorithmen umzustellen. Es bleibt zu hoffen, dass andere SSH-Implementierungen und Kryptographie-Bibliotheken dem Beispiel von OpenSSH folgen und DSA ebenfalls entfernen, um die Sicherheit und Interoperabilität von SSH weiter zu verbessern.

Schlagwörter: OpenSSH + DSA + modp DSA

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 12. Januar 2024