Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
OpenSSH: bald kein DSA mehr
1 view
Skip to first unread message
Christian Weisgerber
Jan 11, 2024, 11:30:05 AM1/11/24
to
Da die Leute immer jammern, dass solche lang angekündigten Änderungen
"plötzlich" und "überraschend" kämen, hier ein Hinweis, dass OpenSSH
über den Zeitraum eines Jahres die Unterstützung für DSA-Schlüssel
(ssh-dss) einstellen wird.
| In summary:
| 2024/01 - this announcement
| 2024/03 (estimated) - DSA compile-time optional, enabled by default
| 2024/06 (estimated) - DSA compile-time optional, *disabled* by default
| 2025/01 (estimated) - DSA is removed from OpenSSH
DSA-Schlüssel sind schon seit Jahren in der Standardeinstellung
abgeschaltet, so dass das ohnehin nur diejenigen betrifft, die
HostKeyAlgorithms=+ssh-dss benutzen, um sich zu alten Switches o.ä.
zu verbinden.
Die volle Ankündigung im Original:
https://lists.mindrot.org/pipermail/openssh-unix-dev/2024-January/041132.html
--
Christian "naddy" Weisgerber na...@mips.inka.de
"plötzlich" und "überraschend" kämen, hier ein Hinweis, dass OpenSSH
über den Zeitraum eines Jahres die Unterstützung für DSA-Schlüssel
(ssh-dss) einstellen wird.
| In summary:
| 2024/01 - this announcement
| 2024/03 (estimated) - DSA compile-time optional, enabled by default
| 2024/06 (estimated) - DSA compile-time optional, *disabled* by default
| 2025/01 (estimated) - DSA is removed from OpenSSH
DSA-Schlüssel sind schon seit Jahren in der Standardeinstellung
abgeschaltet, so dass das ohnehin nur diejenigen betrifft, die
HostKeyAlgorithms=+ssh-dss benutzen, um sich zu alten Switches o.ä.
zu verbinden.
Die volle Ankündigung im Original:
https://lists.mindrot.org/pipermail/openssh-unix-dev/2024-January/041132.html
--
Christian "naddy" Weisgerber na...@mips.inka.de
Marco Moock
Jan 11, 2024, 12:00:42 PM1/11/24
to
Am 11.01.2024 um 16:10:40 Uhr schrieb Christian Weisgerber:
> DSA-Schlüssel sind schon seit Jahren in der Standardeinstellung
> abgeschaltet, so dass das ohnehin nur diejenigen betrifft, die
> HostKeyAlgorithms=+ssh-dss benutzen, um sich zu alten Switches o.ä.
> zu verbinden.
Welche sind davon betroffen?
> DSA-Schlüssel sind schon seit Jahren in der Standardeinstellung
> abgeschaltet, so dass das ohnehin nur diejenigen betrifft, die
> HostKeyAlgorithms=+ssh-dss benutzen, um sich zu alten Switches o.ä.
> zu verbinden.
Die 2950 können zumindest ssh-rsa.
Christian Weisgerber
Jan 11, 2024, 1:30:05 PM1/11/24
to
On 2024-01-11, Marco Moock <mm+s...@dorfdsl.de> wrote:
>> DSA-Schlüssel sind schon seit Jahren in der Standardeinstellung
>> abgeschaltet, so dass das ohnehin nur diejenigen betrifft, die
>> HostKeyAlgorithms=+ssh-dss benutzen, um sich zu alten Switches o.ä.
>> zu verbinden.
>
> Welche sind davon betroffen?
Z.B. TP-Link JetStream v1.
>> DSA-Schlüssel sind schon seit Jahren in der Standardeinstellung
>> abgeschaltet, so dass das ohnehin nur diejenigen betrifft, die
>> HostKeyAlgorithms=+ssh-dss benutzen, um sich zu alten Switches o.ä.
>> zu verbinden.
>
> Welche sind davon betroffen?
Ralph Aichinger
Feb 18, 2024, 9:30:39 PM2/18/24
to
Christian Weisgerber <na...@mips.inka.de> wrote:
> On 2024-01-11, Marco Moock <mm+s...@dorfdsl.de> wrote:
>
>>> DSA-Schlüssel sind schon seit Jahren in der Standardeinstellung
>>> abgeschaltet, so dass das ohnehin nur diejenigen betrifft, die
>>> HostKeyAlgorithms=+ssh-dss benutzen, um sich zu alten Switches o.ä.
>>> zu verbinden.
>>
>> Welche sind davon betroffen?
>
> Z.B. TP-Link JetStream v1.
Ich hab einen solchen, den ich mit dem folgenden in
> On 2024-01-11, Marco Moock <mm+s...@dorfdsl.de> wrote:
>
>>> DSA-Schlüssel sind schon seit Jahren in der Standardeinstellung
>>> abgeschaltet, so dass das ohnehin nur diejenigen betrifft, die
>>> HostKeyAlgorithms=+ssh-dss benutzen, um sich zu alten Switches o.ä.
>>> zu verbinden.
>>
>> Welche sind davon betroffen?
>
> Z.B. TP-Link JetStream v1.
.ssh/config halbwegs tolerabel mache.
host tplink
HostName 2a02:ab8:201:5b1::109
Ciphers +aes128-cbc
KexAlgorithms +diffie-hellman-group1-sha1
HostKeyAlgorithms +ssh-dss
Da wird dann wohl eine legacy-ssh-installation
fällig. Irgendwie wäre auch ein Browser, der auf
Legacy-Müll optimiert ist ganz praktisch. Eigentlich
verwunderlich, dass es da noch nichts fertiges gibt,
das eine isolierte Anwendung für solche Szenarien
erleichtert, und verhindert, dass man versehentlich
damit "ernsthafte" Sachen abwickelt.
/ralph
0 new messages