Vlákno názorů k článku OpenSSH ukončí podporu algoritmu ssh-rsa. Co přesně to znamená? od Josef Pavlik - Dobre napsany program vydrzi vic jak 20 let....

Dobre napsany program vydrzi vic jak 20 let. To je vic jak americky prezident v urade a vic jak zivotnost tehdy v americe ilegalniho, dnes smesne jednoducheho kryptovani. Potiz je v tom, ze mame nekolik set aktivnich instalacich nasich systemu, ktere jedou na linuxu priblizne z roku 2005. Tedy 15 let stareho. Samozrejme nove instalace bezi na novejsich systemech, ale bohuzel musime podporovat i ty stare. Jednoduse na tech 10+ letych masinach by se novy linux uz ani nerozbehnul.
Jediny zpusob jak se na tyhle systemy dostat je ssh s optionama nastavenyma za hranici bezpecnosti. Ale co muzeme delat? Nic. Znamena to jenom to, ze nase pracovni stanice musime udrzovat natolik stare, aby se dokazaly spojit s 15 let starymi systemy. Takze kvuli tomu, ze nekdo chce, abychom pracovali bezpecneji, budeme pracovat podstatne nebezpecneji. Trochu to pripomina zakaz dieselu, aby se pak ukazalo, ze znecistuji mene, nez ty nadupane naturbovane motory, co se dnes cpou do cehokoliv.

> Dobre napsany program vydrzi vic jak 20 let.

No nevím… SHA-2 je mladší než 20 let, takže před 20 lety efektivně neexistoval bezpečný hash. Samozřejmě se můžeme tvářit, že tento typ kolize se nedá použít k praktickému útoku… snad.

> Jednoduse na tech 10+ letych masinach by se novy linux uz ani nerozbehnul.

To je něco s 8 MB RAM, nebo jak se to stane? A tam je openssh a ne dropbear nebo podobná jiná implementace?

> Jediny zpusob jak se na tyhle systemy dostat je ssh s optionama nastavenyma za hranici bezpecnosti.

Ano, ale co jiného jako měli vývojáři openssh dělat? Nechat to zapnuté všem? Nebo to vyhodit úplně?

> Znamena to jenom to, ze nase pracovni stanice musime udrzovat natolik stare, aby se dokazaly spojit s 15 let starymi systemy.

Ve skutečnosti je velmi jednoduché nainstalovat starší ssh do /opt, udělat si alias "nossh" (not so secure shell) a připojovat se pomocí nossh stroj. Pak se musíte strachovat jenom o díře, která by umožnila RCE na klientovi, což je u SSH spíš nepravděpodobné, ale i kdyby, tak ho můžete mít v kontejneru.

Znamena to jenom to, ze nase pracovni stanice musime udrzovat natolik stare, aby se dokazaly spojit s 15 let starymi systemy.
Nemusíte tak udržovat celé pracovní stanice. Stačí vám k tomu jeden program, přinejhorším jeden virtuální počítač nebi kontejner.

Takze kvuli tomu, ze nekdo chce, abychom pracovali bezpecneji, budeme pracovat podstatne nebezpecneji.
Proč by kvůli vašim problémům měli trpět všichni ostatní?

@Josef Pavlik

Podle mě tu lajete na to, že jste propásli roky, kdy byl jasně patrný posun vpřed. Musí to být asi hodně zapeklitá situace, jestli ty instalace nezvládnou ani aktualizaci, ani začlenit do sítě stroj, přes který by se udělala brána do nezabezpečené části, ani (asi) nejsou zvirtualizované, když by nic novějšího neunesly.

Nicméně, vždy můžete z openssh vyjít a udělat si vlastní fork starší verze a backportovat nové poznatky z bezpečnosti po svém. Třeba to ocení ještě pár dalších lidí. Jestli se to vyplatí, je na Vás.

> Dobre napsany program vydrzi vic jak 20 let.

Prosím, můžete se předvést…

> Potiz je v tom, ze mame nekolik set aktivnich instalacich nasich systemu, ktere jedou na linuxu priblizne z roku 2005. Tedy 15 let stareho.

Tedy spoustu let bez bezpečnostních záplat? Samozřejmě záleží na prostředí a modelu útočníka, ale možná byste u takovýchto vykopávek už moc nepokazil telnetem. Ne protože by telnet byl bezpečný, ale protože si nedělám o iluzi celkové bezpečnosti těchto vykopávek…

> nekdo chce, abychom pracovali bezpecneji

Někdo chce vyvíjet SSH pro situace, které mu dávají smysl. Jak jsem psal výše, bezpečnostní přínos SSH je u takové vykopávky sporný. Pokud ale přesto máte nějaký dost specifický use-case, OpenSSH je opensource. Nic vám nebrání udržovat starou verzi, případně někoho k tomuto účelu najmout nebo založit crowdfundingovou kampaň.

Je to mimo téma (od vás), ale diesely se stanou čistými, když zavedeme ještě špinavější motory? A takhle jste to myslel i s tím OpenSSH?

Jinak pro pristup na legacy systemy jde pouzit https://packages.debian.org/buster/openssh-client-ssh1 ... kdyz uz je to potreba; kvuli tomu fakt neni potreba mit stary SW na pracovni stanici.