The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск OpenSSH 6.9

01.07.2015 18:35

Доступен выпуск OpenSSH 6.9 - открытой реализации клиента и сервера для работы по протоколам SSH и SFTP. Сообщается, что OpenSSH 6.9 сформирован незадолго до выпуска OpenSSH 7.0, в котором будет прекращена поддержка ряда возможностей, что может негативно отразиться на совместимости с существующими конфигурациями. OpenSSH 6.9 в основном содержит исправление ошибок и подводит своеобразный итог перед появлением новой значительной версии, которая ожидается в этом месяце.

Из изменений в OpenSSH 7.0, нарушающих совместимость, выделяется:

  • По умолчанию значение директивы конфигурации PermitRootLogin изменено с "yes" на "no", т.е. удалённый вход под пользователем root потребует явного изменения значения опции.
  • Поддержка первой версии протокола SSH будет отключена по умолчанию на стадии компиляции. Протокол SSH-1 отмечен как устаревший, небезопасный и не рекомендуемый для использования. Кроме того, работа OpenSSH без OpenSSL возможна только при использовании протокола SSH-2, так как встроенные алгоритмы (curve25519, aes-ctr, chacha20+poly1305 и ed25519) неприменимы к SSH-1. Отключение SSH-1 по умолчанию на уровне сборки упростит распространение в дистрибутивах самодостаточных в плане методов шифрования конфигураций OpenSSH, собранных без привязки к OpenSSL.
  • Отключена по умолчанию поддержка обмена 1024-битными ключами diffie-hellman-group1-sha1;
  • Отключена по умолчанию поддержка ключей пользователя и хоста ssh-dss и ssh-dss-cert-*;
  • Удалён код для поддержки формата сертификатов v00;
  • По умолчанию отключены шифры blowfish-cbc, cast128-cbc, все варианты arcfour и алиасы rijndael-cbc для AES;
  • Запрещено использование любых RSA-ключей, размером менее 1024 бита.

Изменения в выпуске OpenSSH 6.9:

  • По умолчанию в ssh и sshd теперь предлагается шифр [email protected];
  • В ssh устранена проблема с ложным срабатыванием ограничений XSECURITY при установке проброса соединений к X11 после истечения таймаута (ForwardX11Timeout) в случае применения опции ForwardX11Trusted=no;
  • В ssh-agent устранены недоработки в блокировке агента (ssh-add -x), которые приводят к лишней задержке в случае ввода неверного пароля и могут использоваться для принятия решения при выполнении подбора пароля.
  • В команду AuthorizedKeysCommand для sshd добавлена возможность указания заданных администратором произвольных аргументов;
  • Добавлена команда AuthorizedPrincipalsCommand, позволяющая настроить получение информации из субпроцесса, а не файла;
  • В ssh и ssh-add добавлена поддержка устройств PKCS#11 с внешним устройством ввода PIN-кода;
  • В ssh-keygen добавлена команда "ssh-keygen -lF hostname" для поиска в known_hosts и вывода хэшей ключей вместо их полного содержимого;
  • В ssh-agent добавлена опция "-D" для запуска без перехода в фоновый режим и без включения отладки.


  1. Главная ссылка к новости (http://lists.mindrot.org/piper...)
  2. OpenNews: В OpenSSH по умолчанию отключена поддержка SSH-1. Трудности избавления от устаревших криптоалгоритмов
  3. OpenNews: Выпуск OpenSSH 6.8
  4. OpenNews: Microsoft примет участие в разработке OpenSSH и добавит SSH в Windows
  5. OpenNews: Выпуск OpenSSH 6.7
  6. OpenNews: OpenSSL исключен из числа обязательных зависимостей OpenSSH
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42547-openssh
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (68) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 19:23, 01/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    сейчас прибегут спамботы и начнут письма на chacha20-poly1305@openssh.com слать ;)
     
     
  • 2.2, asavah (ok), 19:29, 01/07/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    гы, нехилый honeypot/spamtrap
     
  • 2.53, Аноним (-), 13:01, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > сейчас прибегут спамботы и начнут письма на chacha20-poly1305@openssh.com слать ;)

    Еще можно на chacha20-poly1305@opennet.ru :)

     

  • 1.3, Аноним (-), 19:34, 01/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +11 +/
    > По умолчанию значение директивы конфигурации PermitRootLogin изменено с "yes" на "no", т.е. удалённый вход под пользователем root потребует явного изменения значения опции.

    Когда впервые увидел такое в CentOS после долгих лет юзанья *BSD, для меня это было дикостью... впрочем как и сейчас. Ынтерпрайз, млин.

     
     
  • 2.9, Аноним (-), 00:05, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Все правильно. Под рутом работать не рекомендуется.
     
     
  • 3.12, Анонимнимм (?), 00:43, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Ну так во фряхе как раз и no по умолчанию, а в центосях и прочих редхатах - yes.
     
  • 3.14, Куяврег (?), 02:09, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    тебе и плюсанувшим - жаркий привет.
     
  • 3.54, Аноним (-), 13:02, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Все правильно. Под рутом работать не рекомендуется.

    Так на сервер обычно заходят не "работать" а "админить". А вот админить без прав рута... нууууу... попробуйте :)

     
     
  • 4.57, Andrey Mitrofanov (?), 13:06, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    >не "работать" а "админить"

    Безобразие! Уволить бездельников!!

     
  • 4.63, Аноним (-), 13:44, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    "su -", "sudo -s"
     

  • 1.4, Devider (ok), 20:11, 01/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    -Отключена по умолчанию поддержка ...
    -Отключена по умолчанию поддержка ...
    -Удалён код ...
    -По умолчанию отключены...

    Тео...

     
     
  • 2.5, Аноним (-), 20:43, 01/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Teo Torriatte
     
     
  • 3.6, Аноним (-), 20:54, 01/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Queen?
     
  • 3.7, Аноним (-), 20:54, 01/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Спасибо, Кэп.
     
  • 2.8, Аноним (-), 22:28, 01/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > -Отключена по умолчанию поддержка ...
    > -Отключена по умолчанию поддержка ...
    > -Удалён код ...
    > -По умолчанию отключены...
    > Тео...

    В данном случае больше Дамьен Миллер; по крайней мере коммиты на его счету.

     
  • 2.19, Devider (ok), 09:02, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Какой нафиг милер, какой в жопу queen? Тео де Раадт, основатель OpenBSD, человек мимо которого ни один коммит так просто не пройдет, особенно фича.
     
     
  • 3.20, Аноним (-), 09:10, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    https://en.wikipedia.org/wiki/Teo_Torriatte_(Let_Us_Cling_Together)
     
  • 2.55, Аноним (-), 13:03, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > -Отключена по умолчанию поддержка ...
    > -Отключена по умолчанию поддержка ...
    > -Удалён код ...
    > -По умолчанию отключены...
    > Тео...

    Наконец то проблески адеквата. А то понаделали 20 недовпнов, недопортфорвардеров и недокачалок, при погано работающем и небезопасном протоколе передачи данных...

     

  • 1.10, Аноним (-), 00:07, 02/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Убили совместимость с nx. Он и так то мертв был, а теперь еще и из трупов выбирать нечего.
     
     
  • 2.56, Аноним (-), 13:04, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > еще и из трупов выбирать нечего.

    А зачем выбирать из трупов? Некромансия - это фу!

     

  • 1.11, Анонимнимним (?), 00:39, 02/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > По умолчанию отключены шифры … все варианты arcfour …

    И как они предлагают по гигабитке между серверами единичными большими файлами (10+Gb) перекидываться на скоростях близких к ПСП сетевого интерфейса? NFS сервер поднимать что ли на один раз? Другие шифры упираются в проц даже половину канала не заняв.

     
     
  • 2.13, Crazy Alex (ok), 01:59, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    "По умолчанию" ничего не говорит? Ох уж мне эти нонешние одмины - дефолтные настройки поменять не могут
     
     
  • 3.21, Аноним (-), 10:50, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Отключено по умолчанию при компиляции или в runtime?
     
     
  • 4.23, Crazy Alex (ok), 12:03, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Из ченжлога не особо понятно, но скорее всего - в рантайме для клиента. Если при компиляции - они обычно всё же явно пишут
     
  • 2.15, Глас божий (?), 02:20, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Socat в школе не проходили ещё, горе аутлуковое?
     
     
  • 3.25, Аноним (-), 13:36, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Научи, о гуру, передавать через socat хотя бы небольшое деревцо каталогов! Просим, просим!
    Например нужно перекинуть пяток виртуалок, каждая из которых находится в своём подкаталоге.
    И так что бы количество ручных операций вместо одной scp не выросло до десятка различных команд.
    А мы посмотрим кто тут школьник - только вопить горазд.
     
     
  • 4.26, Andrey Mitrofanov (?), 13:37, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Научи, о гуру, передавать через socat хотя бы небольшое деревцо каталогов! Просим,
    > просим!

    man tar подаст.

     
     
  • 5.30, Тоже какойто аноним (?), 14:01, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Ещё один предлагатель трёхэтажного пайпа с обоих сторон вместо одной scp/sftp.
     
     
  • 6.43, Аноним (-), 17:06, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Ещё один предлагатель трёхэтажного пайпа с обоих сторон вместо одной scp/sftp.

    Пайпы тоже не проходили ещё? А родители знают, что ты в на Опеннет ходишь?

     
     
  • 7.69, Аноним (-), 23:40, 07/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > Пайпы тоже не проходили ещё? А родители знают, что ты в на
    > Опеннет ходишь?

    Сразу видно младшую группу - прошли что-то и давай это использовать по поводу и без повода - границы применимости вы же ещё не проходили.

    Зачем усложнять что-то на столько простое, как копирование файлов? Прям как армянский комсомол - сначала создадим себе сложностей, а потом героически их преодолеваем.

     
  • 4.42, Аноним (-), 17:01, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Например нужно перекинуть пяток виртуалок, каждая из которых находится в своём подкаталоге.

    То есть ты чинишь при помощи SSH то, что у тебя поломано архитектурно? У вас в школе весь прод на Вагранте что ли?

    > И так что бы количество ручных операций вместо одной scp не выросло до десятка различных команд.

    Так тебе шашечки или ехать?

     
     
  • 5.68, Другой аноним (?), 23:33, 07/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Копирование больших файлов - это дефект архитектуры?
    Или в вашем садике все файлы маленькие?

    Как раз scp - это ехать! А то, что вы здесь предлагаете - сплошные костыли.

     
  • 3.50, Crazy Alex (ok), 20:58, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    "Горе аутлуковое" - это надо запомнить
     
  • 2.27, Mihail Zenkov (ok), 13:43, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Если шифрование на данном сегменте сети ненужно:
    nc -ll -p 7777 -e sftp-server

    Подключаться клиентом умеющим работать с sftp напрямую:
    sshfs 192.168.0.3:/ /mnt/ssh -o directport=7777,reconnect,delay_connect

    Минимальное потребление памяти и максимальная скорость. Использую для локальной сети, в том числе и на телефоне с андройдом ;)

     
     
  • 3.28, Andrey Mitrofanov (?), 13:57, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > шифрование на данном сегменте сети ненужно
    > sftp-server
    > sshfs

    Я не расслышал, "не нужно", говорите? Вы не забыли колючик --telnet ssh передать или arc4 какой?

    > в том числе и на телефоне с андройдом ;)

     
     
  • 4.31, Mihail Zenkov (ok), 14:06, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > Я не расслышал, "не нужно", говорите? Вы не забыли колючик --telnet ssh
    > передать или arc4 какой?

    Зачем?

     
     
  • 5.33, Andrey Mitrofanov (?), 14:15, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Я не расслышал, "не нужно", говорите? Вы не забыли колючик --telnet ssh
    >> передать или arc4 какой?
    > Зачем?

    Я просил пояснить, Вы говорите, что шифрование в ssh&co есть и оно "не нужно", или Вы говорите, что шифроание "не нужно" и его нет в ssh&co.

     
     
  • 6.35, Mihail Zenkov (ok), 14:21, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    В sftp-server нет шифрования. При желании получить быструю сетевую шару без шифрования его можно использовать совместно с nc.
     
     
  • 7.36, Andrey Mitrofanov (?), 14:27, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > В sftp-server нет шифрования. При желании получить быструю сетевую шару без шифрования
    > его можно использовать совместно с nc.

    Спасибо! Не знал.  ---Записать и запомнить: первая "s" в "sftp-server" -- не читается в честь Великого Уних-Вея-оглы.

     
     
  • 8.38, Mihail Zenkov (ok), 14:39, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Это сарказм и вы не верите, что sftp-server нет шифрования ... текст свёрнут, показать
     
     
  • 9.39, Аноним (-), 16:11, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Конечно Потому что с одной стороны Subj - без шифрования - не умеет Чуть бол... текст свёрнут, показать
     
     
  • 10.41, Mihail Zenkov (ok), 16:40, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ненужно так громко заявлять о том, чего не знаешь Покажи мне шифрование в исход... текст свёрнут, показать
     
  • 9.46, Andrey Mitrofanov (?), 17:51, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Я, конечно, Страшный Мастер Сарказма, Наводящий Ужас,но не сарказм это я вполн... текст свёрнут, показать
     
     
  • 10.51, Mihail Zenkov (ok), 21:35, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Насколько я знаю - аналогично sshfs запускает ssh для зашифрованного канала ... текст свёрнут, показать
     
  • 8.44, Аноним (-), 17:10, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну ты бы хоть посмотрел как он работает, ей-богу DESCRIPTION sftp-server i... текст свёрнут, показать
     
     
  • 9.49, Andrey Mitrofanov (?), 19:24, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Я посмотрел Не сразу, да ... текст свёрнут, показать
     
  • 3.29, Аноним (-), 13:57, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > nc -ll -p 7777 -e sftp-server

    man nc
    -e      If IPsec support is available, then one can specify the IPsec
                 policies to be used using the syntax described in
                 ipsec_set_policy(3).  This flag can be specified up to two times,
                 as typically one policy for each direction is needed.
    Вы предлагаете еще и IPsec настроить? По вашему NFS сложнее?
    А в nc от CentOS 6.6 даже опции такой нет.

    > sshfs 192.168.0.3:/ /mnt/ssh -o directport=7777,reconnect,delay_connect

    По твоему это подходит под определение "также просто как через scp -c arcfour128"?

    Может вы перед тем как что-то предлагать сами попробуете свои варианты?

     
     
  • 4.32, Mihail Zenkov (ok), 14:10, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    >[оверквотинг удален]
    > one can specify the IPsec
    >            
    >  policies to be used using the syntax described in
    >            
    >  ipsec_set_policy(3).  This flag can be specified up to two
    > times,
    >            
    >  as typically one policy for each direction is needed.
    > Вы предлагаете еще и IPsec настроить? По вашему NFS сложнее?
    > А в nc от CentOS 6.6 даже опции такой нет.

    Хз что там CentOS 6.6, у меня везде busybox:
    nc --help
    BusyBox v1.22.1 (2015-01-23 15:15:52 UTC) multi-call binary.

    Usage: nc [-iN] [-wN] [-l] [-p PORT] [-f FILE|IPADDR PORT] [-e PROG]

    Open a pipe to IP:PORT or FILE

            -l      Listen mode, for inbound connects
                    (use -ll with -e for persistent server)
            -p PORT Local port
            -w SEC  Connect timeout
            -i SEC  Delay interval for lines sent
            -f FILE Use file (ala /dev/ttyS0) instead of network
            -e PROG Run PROG after connect


    >> sshfs 192.168.0.3:/ /mnt/ssh -o directport=7777,reconnect,delay_connect
    > По твоему это подходит под определение "также просто как через scp -c
    > arcfour128"?

    Если нужно работать с файлами по сети на прямую - например посмотреть фотографии/видео/документы не копируя их - то да. Перемотка видео естественно работает.

    > Может вы перед тем как что-то предлагать сами попробуете свои варианты?

    Использую ежедневно три года ...

     
     
  • 5.58, Аноним (-), 13:07, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > Хз что там CentOS 6.6, у меня везде busybox:

    Суровый человек. И как тебе его ps или top заместо нормальных? :)

     
     
  • 6.64, Mihail Zenkov (ok), 14:08, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > Суровый человек. И как тебе его ps или top заместо нормальных? :)

    А что с ними не так?

    Для ps стоит alias "ps -o pid,nice,time,vsz,rss,comm,args".

    Там при сборке busybox конечно можно повыкидывать из ps и top многие возможности, но я оставил.

    Да и насколько я понял у nc из busybox больше возможностей, чем у стандартного :)

     
  • 4.34, Andrey Mitrofanov (?), 14:17, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    >> nc -ll -p 7777 -e sftp-server
    > man nc
    > -e      If IPsec support is available, then

    Это не тот 'man nc'. [и рукой - так \ ;я джедай?]

     
  • 4.37, Mihail Zenkov (ok), 14:35, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Как вариант:
    socat TCP4-LISTEN:7777 EXEC:/usr/lib/sftp-server

    http://superuser.com/questions/32884/sshfs-mount-without-compression-or-encry

     
     
  • 5.40, Аноним (-), 16:21, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    > Как вариант:
    > socat TCP4-LISTEN:7777 EXEC:/usr/lib/sftp-server

    А ты такой дурак - по субботам али как? (С) Филатов.
    Иди ужо в торгаши, "нет шифрования" :)

     
     
  • 6.48, Crazy Alex (ok), 19:23, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Ещё один на ключевые слова реагирует. Вы, чёрт возьми, хоть что-то читаете? Да, представь себе - sftp-server не занимается шфированием - с ним взаимодействуют по уже существующему каналу (обычно - ssh (с шифрованием, понятно), здесь - nc или socat - без всякого шифрования.
     
  • 6.59, Аноним (-), 13:08, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > Иди ужо в торгаши, "нет шифрования" :)

    Да он вроде ядерный разработчик, бывший, чтоли. Временами он конечно забавно тормозит, но приравнять Зенкова к торгашам - это таки наглость.

     
     
  • 7.65, Mihail Zenkov (ok), 14:13, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну не физик-ядерщик, но во многие открытые проекты патчи отсылал, в том числе и в ядро.
     
  • 2.52, Денис (??), 07:16, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    чача поточная
    юзай ее
     

  • 1.16, Аноним (-), 04:57, 02/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Почему blowfish-cbc отключили?
     
     
  • 2.18, Аноним (-), 07:23, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Почему blowfish-cbc отключили?

    его АНБ "ниасилил", самоочевидно.
    как и Serpent, младший CAST и ряд других вещей, ими отовсюду выкидываемых с маниакальностью достойной лучшего примненеия(вроде выкидывания DES, 3DES, RCx и пр)


     
     
  • 3.24, Аноним (-), 13:05, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Да, я знаю про доказанную стойкость blowfish и сомнительность AES - поэтому и спросил.
     
     
  • 4.45, a (??), 17:43, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Да, я знаю про доказанную стойкость blowfish

    знаток хренов:
    https://en.wikipedia.org/wiki/Blowfish_(cipher)
    Blowfish is known to be susceptible to attacks on reflectively weak keys... Bruce Schneier, Blowfish's creator, is quoted in 2007 as saying "At this point, though, I'm amazed it's still being used. If people ask, I recommend Twofish instead."

     
     
  • 5.47, Аноним (-), 18:29, 02/07/2015 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Болванка прочла википедию и возомнила себя гуру. С blowfish как раз все предельно ясно, т.к. стойкость шифра определяется стойкостью ключа. Там где ты смотре - в википедии тебе не написали об этом, а своих могов нет, верно?
     
     
  • 6.62, Аноним (-), 13:13, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > предельно ясно, т.к. стойкость шифра определяется стойкостью ключа.

    А тайминг-атаки икаются и Blowfish и AES. Потому что оба - схемы с S-Box'ами. В новых алгоритмах криптографы S-box не пользуются - слишком много информации о характере ключа утекает косвенными методами.


     
     
  • 7.66, Аноним (-), 16:28, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Да черт знает, так тут как ни крути, но сама концепция стойкости шифра по стойкости ключа будет содержать S-Box или альтернативу (пусть даже размытую на итерации) которая все равно будет сохранять характерные признаки ключа. Лучше расскажите что вы думаете/знаете "личного" о threefish ?
     
  • 4.60, Аноним (-), 13:10, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > Да, я знаю про доказанную стойкость blowfish и сомнительность AES - поэтому и спросил.

    Вообще-то оба уязвимы по части атак. Привет оптимистам, короче. Если вы оптимист - вы точно не криптограф и даже близко не стояли, поэтому ваше экспертное мнение можно помножить на ноль :P.

     
     
  • 5.61, Аноним (-), 13:11, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    > Вообще-то оба уязвимы по части атак.

    А самый цимес то и выпал - по части ТАЙМИНГ атак. На процессорный кэш и прочая. По совремнным меркам, если алгоритм отрабатывает за разное время с разными ключами - это FAIL, т.к. утекает наружу информацию о характере ключа.

     
     
  • 6.67, Аноним (-), 18:44, 03/07/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Это поправимо на уровне реализации. Нет, я не это имел ввиду когда ссылался на AES.
     

  • 1.17, Аноним (-), 04:59, 02/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > ssh-keygen -lF hostname

    наконец-то

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру