URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 95672
[ Назад ]

Исходное сообщение
"OpenSSL исключен из числа обязательных зависимостей OpenSSH"

Отправлено opennews , 30-Апр-14 22:20 
Разработчики проекта OpenBSD объявили (http://undeadly.org/cgi?action=article&sid=20140430045723) о переводе сборки OpenSSH с поддержкой OpenSSL из  обязательных зависимостей в категорию опциональных возможностей. Отныне появилась возможность собрать OpenSSH без привязки к OpenSSL (добавлена сборочная опция "OPENSSL=no") за счёт сокращения числа поддерживаемых шифров. При сборке без OpenSSL в OpenSSH будут доступны только алгоритмы curve25519, aes-ctr, chacha и ed25519. Из планов на будущее также отмечается дальнейшее увеличение самодостаточности OpenSSH.

URL: http://undeadly.org/cgi?action=article&sid=20140430045723
Новость: http://www.opennet.me/opennews/art.shtml?num=39683


Содержание

Сообщения в этом обсуждении
"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 30-Апр-14 22:20 
И что это даст? По логике наоборот curve25519, aes-ctr, chacha и ed25519 должны были полностью повесить на OpenSSL... Теперь получается все кому не лень будут дублировать OpenSSL у себя в проекте. С каких пор дублирование кода не считается дурным тоном?

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 30-Апр-14 23:46 
> С каких пор дублирование кода не считается дурным тоном?

С тех пор, как Леня Пэ набрал популярность.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 08:04 
> С тех пор, как Леня Пэ набрал популярность.

Ну ты, чувак, юзай openssl наздоровье. Только потом не удивляйся туевой хуче сюрпризов. Ибо о долбоклюйстве авторов этой либы в области криптографии недвусмысленно говорит например changelog свежих версий Tor где им пришлось явно воркэраундить идиoтию авторов openssl в использовании аппаратных RNG. А если в криптографической либе сажают ТАКИЕ плюхи - вы конечно извините, но...


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 08:02 
> И что это даст?

1) Отсутствие переусложненной либы, которую пишут дилетанты, зарекомендовавшей себя одним большим куском проблем с точки зрения криптографии.
2) Нормальная подборка современных алгоритмов от вполне приличной группы криптографов.
3) F...k you legacy.

Вообще, парни все-таки не проcpaли квалификацию окончательно - удивительно здравое решение.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено XoRe , 05-Май-14 22:08 
> 1) Отсутствие переусложненной либы, которую пишут дилетанты

Шедевр.
Я правильно понимаю, что после heartbleed каждый аноним стал гуру криптографии, который поливает грязью дилетантов из openssl ?


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено arisu , 06-Май-14 06:42 
нет, просто OpenSSL всегда говном была.

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Потерпевший , 06-Май-14 07:50 
А чем Вы пользуетесь, стесняюсь спросить.

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено arisu , 06-Май-14 07:57 
> А чем Вы пользуетесь, стесняюсь спросить.

смотря для чего. есть polarssl, например. а чистых криптолиб ещё больше.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено XoRe , 07-Май-14 01:10 
> нет, просто OpenSSL всегда говном была.

Просто до heartbleed на попытки сделать что-то свое в криптографии рекомендовали "не изобретай велосипед, используй openssl".
А сейчас "openssl - поделие криворукого студента".


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено arisu , 07-Май-14 07:21 
>> нет, просто OpenSSL всегда говном была.
> Просто до heartbleed на попытки сделать что-то свое в криптографии рекомендовали "не
> изобретай велосипед, используй openssl".
> А сейчас "openssl - поделие криворукого студента".

кто рекомендовал?


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено XoRe , 07-Май-14 14:28 
>>> нет, просто OpenSSL всегда говном была.
>> Просто до heartbleed на попытки сделать что-то свое в криптографии рекомендовали "не
>> изобретай велосипед, используй openssl".
>> А сейчас "openssl - поделие криворукого студента".
> кто рекомендовал?

те же анонимы)


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено arisu , 07-Май-14 14:35 
>> кто рекомендовал?
> те же анонимы)

я так понимаю, доказать, что это были те же, тебя не затруднит. изволь.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено XoRe , 07-Май-14 22:03 
>>> кто рекомендовал?
>> те же анонимы)
> я так понимаю, доказать, что это были те же, тебя не затруднит.
> изволь.

Вот этот приятель :)

http://www.opennet.me/~Аноним


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено vi , 30-Апр-14 22:26 
D. J. Bernstein рулит!

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено parad , 30-Апр-14 22:57 
он тут причем?

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено cnst , 01-Май-14 01:21 
http://www.opennet.me/opennews/art.shtml?num=38635

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 08:00 
> он тут причем?

При том что Curve25519, poly1305 и salsa/chacha - это его рук дело.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 30-Апр-14 23:45 
> D. J. Bernstein рулит!

Он, кажется, говорил, что чем меньше всяких функций и наворотов, тем более безопасно ПО.
С таким подходом, к OpenSSH, с его встроенными прокси и FTP-серверами, не стоит прикасаться даже десятиметровой палкой.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 08:08 
> Он, кажется, говорил, что чем меньше всяких функций и наворотов, тем более
> безопасно ПО.

Именно так. И как пруф он написал djbdns и qmail. Надо сказать, пруф удался. Кстати он был одним из первых кто предложил bounty за баги. Выплачивал награду он, если не ошибаюсь, 1 раз за всю историю вообще.

> С таким подходом, к OpenSSH, с его встроенными прокси и FTP-серверами, не
> стоит прикасаться даже десятиметровой палкой.

Ну вот упомянутый шаг - таки в правильном направлении. Еще бы выпилили все эти прокси и фтп нафиг, в какие-нибудь отдельные тематические программы, стало бы вообще хорошо.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено vi , 01-Май-14 11:46 

>> С таким подходом, к OpenSSH, с его встроенными прокси и FTP-серверами, не
>> стоит прикасаться даже десятиметровой палкой.
> Ну вот упомянутый шаг - таки в правильном направлении. Еще бы выпилили
> все эти прокси и фтп нафиг, в какие-нибудь отдельные тематические программы,
> стало бы вообще хорошо.

Так они вроде двигаются в этом направлении, или нет?
Хотя, у них все работает хорошо (тфу, тфу, тфу)!
Может быть только немного не хватает /etc/sshd_config.d/ для своих настроек и для настроек под конкретного пользователя (ну и, что бы не лазить в /etc/sshd_config). Конечно у каждой медали есть своя оборотная сторона (это на счет /etc/sshd_config.d/), так что пусть думают-решают. Мы пока и так проживем, благо задачи удается разделить на более мелкие и простые.
Так что пусть хотя бы только работает, без ошибок, стабильно, и без всяких остальных премудростей (типа ssh в systemd ;). У инструмента есть, и должна быть, одна основная функция. Остальное требуется гораздо реже (но иногда здорово помогает ;)


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 16:20 
> Так они вроде двигаются в этом направлении, или нет?

По принципу шаг вперед, два назад. Вон наплодили всяких впнов (горбатых и дурных), портфорвардеров и прокси (почему в ssh?), sftp (опять же, почему в ssh?) и какую там еще буетень я забыл. Ну, блин, если так хочется - вынесите протокол в либу и сделайте программы которые ее дергают. Зачем все это гэ в самом ssh? Была программа, делала 1 дело - secure shell. Хорошо делала. Не, блин, сделали какой-то швейцарский  нож с 120 лезвиями. При том им стало одинаково неудобно чистить картошку и закручивать шурупы. Хотя овощечистка и отвертка разумеется чисто номинально там есть. Но хреновые, разумеется.

> Хотя, у них все работает хорошо (тфу, тфу, тфу)!

Как-то, конечно работает. Вопрос только в том сколько там багов порылось и зачем весь этот третьесортный крап засунут в именно ssh а не какую-то отдельную утилю на основе этого протокола.

> Может быть только немного не хватает /etc/sshd_config.d/ для своих настроек и для
> настроек под конкретного пользователя

А также простейшего отстрела особо наглых брутфорсеров, например. Было бы на порядок полезнее всех этих свистоперделок вместе взятых. А так приходится самостоятельно костылить или порткнок или хотя-бы развес на нестандартный порт. Иначе нагрузка от многопоточных брутеров задолбает - на раз кладут ядро проца в полку, openssh при 100500 конектов криптографию натужно считает (25519 кстати сие несколько пролечит, если остальное запретить).

> Так что пусть хотя бы только работает, без ошибок, стабильно, и без
> всяких остальных премудростей (типа ssh в systemd ;). У инструмента есть,
> и должна быть, одна основная функция.

Вот по этой причине я и не одобряю всякие кривенькие и галимые впн, портфорвардеры и файлокачалки упиханые в ssh.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено vi , 03-Май-14 10:24 

>> Так что пусть хотя бы только работает, без ошибок, стабильно, и без
>> всяких остальных премудростей (типа ssh в systemd ;). У инструмента есть,
>> и должна быть, одна основная функция.
> Вот по этой причине я и не одобряю всякие кривенькие и галимые
> впн, портфорвардеры и файлокачалки упиханые в ssh.

Тут момент не такой простой, как кажется. Копипастить это не очень хорошо (хотя сам компилятор себе иногда позволяет ;). Вынести весь общий функционал в либу, как все более-менее разбирающиеся программеры наверняка и делают (автор этих строк не программер, а если и да, то только в самом примитивном смысле этого слова). А после этого написать sftp-сервер можно (ИМНО) в несколько строчек кода (например case ... esac). Ну конечно, и этих строках можно кучу ошибок понаделать, так Человеку свойственно же ошибаться!


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 05-Май-14 07:50 
>А также простейшего отстрела особо наглых брутфорсеров

тю!

# ssh input
iptables -A INPUT -p tcp --dport ssh -m state --state NEW \
        -m hashlimit --hashlimit-name 'ssh' --hashlimit-mode srcip \
        --hashlimit 1/min --hashlimit-burst 3 -j ACCEPT

# log ssh above limits
iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m limit --limit 3/min \
        -j LOG --log-prefix 'ssh_flood:'


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено pavel_simple , 05-Май-14 07:57 
>[оверквотинг удален]
> # ssh input
> iptables -A INPUT -p tcp --dport ssh -m state --state NEW \
>         -m hashlimit --hashlimit-name 'ssh'
> --hashlimit-mode srcip \
>         --hashlimit 1/min --hashlimit-burst 3
> -j ACCEPT
> # log ssh above limits
> iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m
> limit --limit 3/min \
>         -j LOG --log-prefix 'ssh_flood:'

это практически сразу обходится использованием ботнета


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 15-Май-14 15:22 
>[оверквотинг удален]
>> iptables -A INPUT -p tcp --dport ssh -m state --state NEW \
>>         -m hashlimit --hashlimit-name 'ssh'
>> --hashlimit-mode srcip \
>>         --hashlimit 1/min --hashlimit-burst 3
>> -j ACCEPT
>> # log ssh above limits
>> iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m
>> limit --limit 3/min \
>>         -j LOG --log-prefix 'ssh_flood:'
> это практически сразу обходится использованием ботнета

port knocking вообще обходится тупым сканированием портов, если не городить FSM типа "стукни сюда", потом жди 20 секунд и "сюда", а потом "вот сюда", со сбросом состояния в исходное при нарушении.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 15-Май-14 15:24 
>[оверквотинг удален]
>>>         --hashlimit 1/min --hashlimit-burst 3
>>> -j ACCEPT
>>> # log ssh above limits
>>> iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m
>>> limit --limit 3/min \
>>>         -j LOG --log-prefix 'ssh_flood:'
>> это практически сразу обходится использованием ботнета
> port knocking вообще обходится тупым сканированием портов, если не городить FSM типа
> "стукни сюда", потом жди 20 секунд и "сюда", а потом "вот
> сюда", со сбросом состояния в исходное при нарушении.

а вообще у меня всё на ключах, пароль подбирать бесполезно


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Michael Shigorin , 15-Май-14 21:27 
> port knocking вообще обходится тупым сканированием портов

Здрасьте, так без последовательности он малоинтересен.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено бедный буратино , 01-Май-14 09:53 
> С таким подходом, к OpenSSH, с его встроенными прокси и FTP-серверами

феерично.

надо было написать "с его встроенными прокси и FTP-серверами, поддержкой клавиатуры, мыши, винды".

воинствующая некомпетентность сменилась генератором случайных фраз. пал, пал опеннет.


ps. Ну когда там 5.5? Сижу жду!


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 16:22 
> воинствующая некомпетентность сменилась генератором случайных фраз.

Мне казалось что у тебя и то и другое было всегда. Ты чего-то путаешь.

> пал, пал опеннет.

Трава была зеленее? Солнце светило ярче?


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено бедный буратино , 01-Май-14 17:57 
> Мне казалось что у тебя и то и другое было всегда. Ты чего-то путаешь.

Разумеется, если человек будет разговаривать с нимфузориями-туфельками, те его никогда не поймут. Для них он - большая чёрная туча.

> Трава была зеленее? Солнце светило ярче?

Беседы были компетентнее, смысла было больше, шаблонных ответов в разы меньше (такое ощущение, что сейчас пишут не для того, чтобы обсудить, а для того, чтобы отметиться). Уровень комментариев не просто упал, он насквозь пробил дно. Информации в комментариях практически нет, а та, что есть - просто поражает. Я не могу представить, чтобы пять лет назад кто-то заявил, что "в openssh есть ftp-сервер и прокси". Это что-то в духе "в Миг-29 есть воздух и кальций".


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 20:08 
> Беседы были компетентнее, смысла было больше, шаблонных ответов в разы меньше

Если честно, я не припоминаю - когда и в каком месте ты сказал хоть что-то компетентное. Или ты под амебами себя имел в виду?

> Уровень комментариев не просто упал, он насквозь пробил дно.

Весьма зависит от темы и участников, имхо. Если брать твоих коллег по цеху, бсдшников, типа изенов - там да, п...ц полный, конечно. Ламер на ламере и ламером погоняет.

> заявил, что "в openssh есть ftp-сервер и прокси". Это что-то в
> духе "в Миг-29 есть воздух и кальций".

Да, данные комментарии и правда поражают ... каким либо отсутствием смысла. Я про твой комментарий, если что.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 20:44 
> ps. Ну когда там 5.5? Сижу жду!

Радуйся, вышла.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 02-Май-14 18:05 
>> D. J. Bernstein рулит!
> Он, кажется, говорил, что чем меньше всяких функций и наворотов, тем более
> безопасно ПО.
> С таким подходом, к OpenSSH, с его встроенными прокси и FTP-серверами, не
> стоит прикасаться даже десятиметровой палкой.

Покажите лучший вариант решения предлагаемой проблемы. Не в стиле "тупо надо так", а подробно, как именно вы предлагаете заменить каждый из спорных узлов SSH. Так, чтобы суммарная сложность соответствующих решений понизилась, ведь об этом речь, правильно?


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Псевдоним , 02-Май-14 21:51 
sftp сервер и клиент - это отдельные программы.
Функциональность socks proxy очень близка к основной функциональности самого ssh, а именно, созданию универсальных шифроканалов (а ты думал, что предоставление удаленного шелла? это только частный случай общей функциональности).

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено vlikhachev , 03-Май-14 20:30 
> sftp сервер и клиент - это отдельные программы.
> Функциональность socks proxy очень близка к основной функциональности самого ssh, а именно,
> созданию универсальных шифроканалов (а ты думал, что предоставление удаленного шелла?
> это только частный случай общей функциональности).

А можно уточнить, зачем ВОБЩЕ нужно использовать socks proxy в nix среде? То есть прокси уровня приложения, а не протокола? Исключая офтопик, где других рабочих решений всего одно (winipfw, кажется)...


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 30-Апр-14 22:41 
модульность --- это плюс

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 30-Апр-14 22:42 
> модульность --- это плюс

Ага, видали в systemd.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено V , 30-Апр-14 23:02 
"А мне вот системды очень нравится. удобный очень. сказал человек, что «системды хорошо и прогресс» — и сразу ясно, что больше с таким человеком серьёзно говорить не о чем." © arisu

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 30-Апр-14 23:41 
С arisu вообще очень сложно говорить на нормальные темы. Все время в нецензурщину съезжает.

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Xaionaro , 30-Апр-14 23:54 
Но-но! arisu -- очень даже адекватный человек и попусту не ругается. А ругань подкрепляет аргументами.

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Куяврег , 01-Май-14 01:06 
да ладно. очень многое он говорит по делу. ну зарубает временами на пару тем, но кто ж без этого?

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено arisu , 01-Май-14 09:37 
> Но-но! arisu -- очень даже адекватный человек и попусту не ругается. А
> ругань подкрепляет аргументами.

справедливости ради: всегда могу, но не всегда хочу. особенно если предмет разговора или стопицот раз уже обсуждали со всех сторон, или неправота оппонента будет очевидна, если оппонент возьмёт на себя труд немного разобраться в области, в которой вещает.

впрочем, если оппонент адекватен и спокойно переспросит — скорее всего или расскажу, или скажу, по каким ключевым словам поисковик мучать.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено arisu , 01-Май-14 09:34 
> С arisu вообще очень сложно говорить на нормальные темы. Все время в
> нецензурщину съезжает.

так решение простое: не будь дураком. не городи чуши, не высказывайся в темах, где ты ничего не понимаешь — и всё. а если я вижу дурака — то и разговариваю с ним как с дураком.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 09:57 
держать других за дураков - суть недалекости вершина.
как невежества и глупости - признак категоричности.

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено arisu , 01-Май-14 10:05 
> держать других за дураков - суть недалекости вершина.
> как невежества и глупости - признак категоричности.

а вот ещё хороший признак дурака: псевдоумные фразы. дурак их сам не понимает, правильно применять поэтому не умеет, но уверен, что стоит такую фразу ввернуть — и сразу все подумают, что он не дурак, а вовсе даже умный и глубокомысленный.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 16:24 
> держать других за дураков - суть недалекости вершина.

Это еще как сказать: в 95% случаев он угадывает, ибо 95% населения - ... :)

> как невежества и глупости - признак категоричности.

Обычно у arisu весьма взвешенная и продуманная позиция, которую он может рационально обосновать. Поэтому даже если он иногда себя ведет не лучшим образом, его слова в 95% случаев - чистейшая правда. Даже если она и звучит обидно временами.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено ы , 01-Май-14 21:58 
А что, тема переключилась на обсуждение и..нутого юзера с неоднозначным ником?
С каких пор тут обсуждают мизантропов?

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено arisu , 02-Май-14 00:15 
> с неоднозначным ником?

и что там «неоднозначного»? Элис Купер смотрит на тебя как на…


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 09:33 
systemd - сама модульность. без шуток

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Xaionaro , 05-Май-14 09:56 
> systemd - сама модульность. без шуток

Всё равно звучит как шутка :)


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 30-Апр-14 23:42 
> модульность --- это плюс

Не модульность, а самодостаточность. Сначала свою SSL-библиотеку, потом свою libc, потом свое ядро... В принципе, все это уже есть, осталось сколотить гвоздями покрепче.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 07:31 
"кирпичность" - это минус.
видали и в винде и в ядре линукс.
только хардкор !!

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Michael Shigorin , 01-Май-14 13:59 
> только хардкор !!

Это как, "морда модуля просит"? ;-)

По существу: http://www.altlinux.org/index.php?title=Процедура_принятия_в_Team&action=historysubmit&diff=29094&oldid=28862


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Xasd , 01-Май-14 00:26 
> При сборке без OpenSSL в OpenSSH будут доступны только алгоритмы curve25519, aes-ctr, chacha20+poly1305 и ed25519, ...

ха! то есть получается что свои функции SSH будет выполнять как ни в чём не бывало!

ещё бы они "chacha20+poly1305" сделали бы поумолчанию (как приоритетный алгоритм) -- и было бы вообще замечательно..


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 08:15 
> ещё бы они "chacha20+poly1305" сделали бы поумолчанию (как приоритетный алгоритм) -- и
> было бы вообще замечательно..

Але, гараж! Отпускаем ручник! http://www.opennet.me/opennews/art.shtml?num=38971


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Xasd , 04-Май-14 02:43 
ну и где по ссылке написанно что "chacha20+poly1305" якобы стал приоритетным алгоритмом?

[quote]
В ssh и sshd добавлен новый транспортный протокол "chacha20-poly1305@openssh.com" на основе алгоритмов потокового шифра ChaCha20 и аутентификации сообщений Poly1305-AES, разработанных Дэниэлом Бернштейном. Алгоритмы ChaCha20 и Poly1305-AES созданы специально для обеспечения наивысшей безопасности при наименьших вычислительных затратах. Программная реализация алгоритмов позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки.
[/quote]

внимательно прочитай (в том числе и исходники) и догадайся уже наконец что "chacha20+poly1305" лишь только добавлен как опция.

а по умолчанию (приоритетно) -- всё тот же AES как и раньше..


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено cnst , 01-Май-14 00:47 
Кстати, ещё есть обсуждение на http://it.slashdot.org/story/14/04/30/1822209/openssh-no-lon...

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 16:01 
Да, клево там:
> DJB is the worst kind of asshole too: he's almost always right. So you shouldn't
> just ignore him. Meh, justified arrogance still annoys.

А на местного arisu за что-то такое наезжают... он конечно не DJB, но все-таки :)


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено arisu , 02-Май-14 00:08 
> А на местного arisu за что-то такое наезжают... он конечно не DJB,
> но все-таки :)

ну так я наглее, я ещё и кода не показываю. а это совсем уже нестерпимо.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 02-Май-14 03:54 
Хикки, они такие...

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 02-Май-14 23:04 
> ну так я наглее, я ещё и кода не показываю.

Ну если Берштейновский код мне как-то может быть полезен, насчет твоего кода я как-то сильно менее уверен по этому поводу. Так что большой вопрос - насколько велика потеря.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено arisu , 02-Май-14 23:09 
я рыдаю от огорчения.

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 03:00 
В догонку: в самой OpenBSD OpenSSH не линковался с OpenSSL

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 08:24 
> В догонку: в самой OpenBSD OpenSSH не линковался с OpenSSL

А что он при этом делал до внедрения curve25519/poly1305/chacha?


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 02-Май-14 18:10 
> В догонку: в самой OpenBSD OpenSSH не линковался с OpenSSL

Линковался, но в OpenBSD её (линковку) отключили раньше.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 01-Май-14 15:49 
SSH-1 - устаревший протокол, давно нужно было перейти всем на современный мейнстрим.

"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено Аноним , 02-Май-14 18:15 
> SSH-1 - устаревший протокол, давно нужно было перейти всем на современный мейнстрим.

Кто ж спорит. В OpenSSH он по умолчанию уже давно отключён - впрочем, это в OpenBSD, а так в каждой ОС и каждом дистре могут быть свои дефолты. Вот только есть и работает ещё куча железа (роутеры всякие), умеющие только SSH-1. И спасибо, что SSH-1, а не голый telnet.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено anonymous , 03-Май-14 12:43 
>> SSH-1 - устаревший протокол, давно нужно было перейти всем на современный мейнстрим.
> Кто ж спорит. В OpenSSH он по умолчанию уже давно отключён -
> впрочем, это в OpenBSD, а так в каждой ОС и каждом
> дистре могут быть свои дефолты. Вот только есть и работает ещё
> куча железа (роутеры всякие), умеющие только SSH-1. И спасибо, что SSH-1,
> а не голый telnet.

Разница невелика, ssh-1 давно взломан.
Вообще управление оборудованием должно быть в отдельном сегменте сети, доступном через vpn.
А что там дальше - telnet или ssh - уже не так важно.


"OpenSSL исключен из числа обязательных зависимостей OpenSSH"
Отправлено vlikhachev , 03-Май-14 20:36 
> Вообще управление оборудованием должно быть в отдельном сегменте сети,

Cогласен полностью
> доступном через vpn.

А вот тут возможны варианты... И даже необходимы, IMHO...
> А что там дальше - telnet или ssh - уже не так
> важно.

Да при выносе оборудования в отдельный сегмент сети и грамотном разграничении доступа туда ssh представляется несколько даже избыточным... Разве что производитель железки его требует...