форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Вышел релиз OpenSSH 5.2"		+/–
Сообщение от opennews (ok) on 23-Фев-09, 22:01
Анонсирован (http://marc.info/?l=openssh-unix-dev&m=123535620330726&w=2) выход релиза OpenSSH 5.2 (http://www.openssh.com), открытой реализации клиента и сервера для работы по протоколу SSH версии 1.3, 1.5 и 2.0. Новшества, представленные в OpenSSH 5.2: -  Изменен порядок применение методов шифрования, начиная с текущей версии  по умолчанию приоритетными методами являются AES CTR и переработанный "arcfour256". Приоритет выбора CBC метода понижен до минимума, так как он подвержен уязвимости (http://www.opennet.me/opennews/art.shtml?num=18947), теоретически позволяющей перехватывать и изменять SSH трафик. Кроме того, в  OpenSSH 5.2 изменено поведение сервера при обнаружении аномалий в CBC шифровании, что сводит на нет возможность проведения вышеупомянутых атак. -  В ssh клиент добавлена новая опция "-y", позволяющая выводить служебную информацию через syslog, а не stderr, что полезно при запуске ssh в режиме демона (ssh -f); -  В файле конфигурации sshd  директива ForceC... URL: http://marc.info/?l=openssh-unix-dev&m=123535620330726&w=2 Новость: http://www.opennet.me/opennews/art.shtml?num=20420
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вышел релиз OpenSSH 5.2"		+/–
Сообщение от PereresusNeVlezaetBuggy (ok) on 23-Фев-09, 22:01
>Изменен порядок применение методов шифрования, начиная с текущей версии по умолчанию приоритетными методами являются AES CTR и переработанный "arcfour256". Приоритет выбора CBC метода понижен до минимума, так как он подвержен уязвимости, теоретически позволяющей перехватывать и изменять SSH трафик. Кроме того, в OpenSSH 5.2 изменено поведение сервера при обнаружении аномалий в CBC шифровании, что сводит на нет возможность проведения вышеупомянутых атак. Следует отметить, что результатом этого изменения является фактически отмена использования аппаратных ускорителей шифрования, т.к. они поддерживают в основном CBC. Впрочем, они и так редкость, во всяком случае, в России. Подробнее: http://www.nabble.com/SSH-cipher-preference-change-(was:-Re:-CVS:-cvs.openbsd.org:-src)-td21627217.html
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от PereresusNeVlezaetBuggy (ok) on 23-Фев-09, 22:02
	ссылка в комменте выше побилась, вот более удобная, на которой OpenNet'овский движок не сбоит: http://archives.neohapsis.com/archives/openbsd/2009-02/0917....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от deskpot on 23-Фев-09, 22:25
	С удовольствием почитал бы анализ, насколько эти «аппаратные ускорители шифрования» могут быть хоть сколько-то полезны в свете openssh на текущем железе (хоть в каких-то ситуациях, у меня это пока не bottleneck ни разу). Или в свете openvpn, это даже интереснее.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от PereresusNeVlezaetBuggy (ok) on 23-Фев-09, 22:51
	>С удовольствием почитал бы анализ, насколько эти «аппаратные ускорители шифрования» могут быть >хоть сколько-то полезны в свете openssh на текущем железе (хоть в >каких-то ситуациях, у меня это пока не bottleneck ни разу). Или >в свете openvpn, это даже интереснее. Пример из гугля: "Our evaluation shows that, despite its addition in the system as a device/service virtualization layer, the OCF is extremely efficient in utilizing cryptographic accelerator functionality, attaining 95% of the theoretical peak device performance. In another configuration, we were able to achieve a 3DES aggregate throughput of over 800 Mbps, by employing a multi-threaded application and load-balancing across multiple accelerators. Furthermore, use of hardware accelerators can remove contention for the CPU and thus improve overall system responsiveness and performance for unrelated tasks." http://www.openbsd.org/papers/ocf.pdf А так — прогуляйтесь на http://www.hardware-ciphers.com/ , ознакомьтесь со спеками и посчитайте для себя. Это не x86-процессоры последних поколений, производительность просчитать несложно (главное, не забывать учитывать шину, на которой чип сидит, и накладные расходы в виде ОС).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от deskpot on 23-Фев-09, 23:00
	а в реальной ситуации? вот есть у меня сервер с openvpn. я туда поставлю железку — и, что, responsiveness для клиентов увеличится? в теории список таких ситуаций крайне мал. а на практике ещё меньше. подумайте об этом и у вас больше не будет вопросов по поводу непопулярности железных шифро-процессоров.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от PereresusNeVlezaetBuggy (ok) on 23-Фев-09, 23:40
	>а в реальной ситуации? вот есть у меня сервер с openvpn. я >туда поставлю железку — и, что, responsiveness для клиентов увеличится? Может быть. А, может быть, и нет. Опять-таки, считать надо. >в теории список таких ситуаций крайне мал. а на практике ещё меньше. > > >подумайте об этом и у вас больше не будет вопросов по поводу >непопулярности железных шифро-процессоров. А у меня как-то вопросов и не было, это вы спрашивали. ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от deskpot on 23-Фев-09, 23:47
	> Может быть. А, может быть, и нет. Опять-таки, считать надо. вот я именно хоть сколько-то нормальных замеров и просил два сообщения назад. :-) > А у меня как-то вопросов и не было, это вы спрашивали. ;) нет, я благодарен за замечание про крипто-акселлераторы. но я как бы намекаю на то, что потеря невелика.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от PereresusNeVlezaetBuggy (ok) on 24-Фев-09, 00:34
	>> Может быть. А, может быть, и нет. Опять-таки, считать надо. > >вот я именно хоть сколько-то нормальных замеров и просил два сообщения назад. >:-) Замер я привёл, ну а конкретно это всё равно надо считать. Вообще тенденция судить о чём-то по бенчмаркам, которые делаются в отличных от ваших условиях, ИМХО, череповато. Можно ту или иную степень достоверности им присваивать "для себя", но не более. Повторяю, посчитать несложно. От себя скажу, что если у вас криптотраффик составляет заметную часть загрузки системы, то результат будет заметен. Я встречал цифры порядка 6-8 кратного ускорения шифрования-дешифрования, но насколько это поможет в конкретной конфигурации — никто, кроме вас самого, не скажет. А так можно заявить, как некоторые фряшники, о десятикратном приросте обработки пакетов в 7.0, забывая о том, что это относится лишь к определённой части сетевого стека. :) Я бы сказал так: если у вас машина занимается в основном OpenVPN (читай, OpenSSL) и SSH, то нагрузка снизится раза в два-три. Заметно дешевле нового сервера, ИМХО. А если эта прибавка идёт ещё и бесплатно, скажем, вместе с процессором (Via C3), то вообще жить хорошо и замечательно. Пока не утыкаемся в обсуждённые выше проблемы с CBC. :) >> А у меня как-то вопросов и не было, это вы спрашивали. ;) > >нет, я благодарен за замечание про крипто-акселлераторы. но я как бы намекаю >на то, что потеря невелика. В большинстве случаев — да.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от crick (ok) on 24-Фев-09, 13:13
	>... Пока не утыкаемся в обсуждённые выше проблемы с CBC. В чем проблема? Включаем в настройках и радуемся... Разработчики ведь не закрыли поддержку, а лишь изменили приоритет!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от PereresusNeVlezaetBuggy (ok) on 24-Фев-09, 13:30
	>>... Пока не утыкаемся в обсуждённые выше проблемы с CBC. > >В чем проблема? Включаем в настройках и радуемся... Разработчики ведь не закрыли >поддержку, а лишь изменили приоритет! Ну так включайте, пожалуйста. И не стесняйтесь на красный свет дорогу переходить, чего бояться.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от РеволюцЫонный матрос Железняк on 24-Фев-09, 19:18
	Для Ыкстпертов: cbc не выкинули, просто при наличии лучших алгоритмов - заюзаются онЕ. А по поводу того насколько это безопасно - дык! Классический трэйдофф - скорость вс секурность :) ПыСЫ: Кстате - санки вроде придлагали карты с аесом на борту.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от PereresusNeVlezaetBuggy (ok) on 24-Фев-09, 19:29
	>Для Ыкстпертов: cbc не выкинули, просто при наличии лучших алгоритмов - заюзаются >онЕ. Вы будете смеяться, но до большинства это дошло раньше, чем до вас… >А по поводу того насколько это безопасно - дык! Классический трэйдофф - >скорость вс секурность :) > >ПыСЫ: Кстате - санки вроде придлагали карты с аесом на борту. Да их много, этих карт (точнее, чипов), сходите по одной из ссылок, приведённых выше: http://www.hardware-ciphers.com/ . Просто, как и, скажем, карты для кодирования видео, они нужны далеко не всем.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от РеволюцЫонный матрос Железняк on 25-Фев-09, 18:22
	>>Для Ыкстпертов: cbc не выкинули, просто при наличии лучших алгоритмов - заюзаются онЕ. >Вы будете смеяться, но до большинства это дошло раньше, чем до вас… Но вот до Вас конкретно - позже всех :) Не так ли ? Или для чего весь этот стон про "кирдык хардовым чиперам"? :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от PereresusNeVlezaetBuggy (ok) on 25-Фев-09, 20:28
	>>>Для Ыкстпертов: cbc не выкинули, просто при наличии лучших алгоритмов - заюзаются онЕ. >>Вы будете смеяться, но до большинства это дошло раньше, чем до вас… > >Но вот до Вас конкретно - позже всех :) Не так ли >? >Или для чего весь этот стон про "кирдык хардовым чиперам"? :) Это были не стоны (не говоря о том, что терминов вроде «кирдык» вы в моих и других сообщениях не найдёте), а отражение объективной реальности: Во-первых, бОльшая часть SSH-соединений устанавливается при помощи OpenSSH; Во-вторых, бОльшая часть пользователей (или поставщиков решений, использующих) OpenSSH не настраивает приоритеты алгоритмов, полагаясь (и не без оснований) на выбор разработчиков. Поэтому в более или менее скором времени, когда (заботливые) администраторы, а также люди, полагающиеся на автообновление, установят новую версию OpenSSH, то у них возможно падение производительности. И если отдельно установленные платы для аппаратного шифрования/дешифрования ещё редкость, то, скажем, Via C3 — уже не очень. Те, кто, скажем, купил barebone-систему с таким камнем и юзает её для переливания файлов (скажем, бэкапов) по SSH — могут заметить разницу. И если до вас ещё не дошло: то, что _заметной_ проблемой это станет лишь для немногих остальные тоже уже в курсе.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от User294 (ok) on 24-Фев-09, 03:45
	>на то, что потеря невелика. А это смотря что делать.Представьте себе проксирование или vpn порядка гигабита по ssh например.Вы все еще уверены что это ерунда?А если гигабитных интерфейсов несколько а сервак, допустим, юзает орава народа (VDS там и так далее).Вообще, ssh особой скромностью в плане юзежа проца при большоем траффике не отличается.Подозреваю что за счет шифрования как раз.А случаи бывают разные. P.S. arcfour'у довольно много досталось от криптографов и нафиг его (даже переработанный) делать приоритетным - не очень понятно.Или их переработка устраняет все известные проблемы и надежность оного проверена криптографами?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от PereresusNeVlezaetBuggy (ok) on 23-Фев-09, 23:43
	>непопулярности железных шифро-процессоров. Кстати, некоторые виды оборудования (например, репитеры для оптоволокна) трудно назвать шибко популярными, но тем не менее в определённых, пусть и узких сферах, они активно используются и вопросы их использования, соответственно, весьма актуальны. ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от deskpot on 23-Фев-09, 23:49
	> репитеры для оптоволокна кстати, насколько для них актуален вопрос отмены ряда крипто-железок для openssh? правильно — нинасколько вообще.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от PereresusNeVlezaetBuggy (ok) on 24-Фев-09, 00:24
	>> репитеры для оптоволокна > >кстати, насколько для них актуален вопрос отмены ряда крипто-железок для openssh? правильно >— нинасколько вообще. Угу. Это был абстрактный пример. Лопата ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Вышел релиз OpenSSH 5.2"		+/–
	Сообщение от User294 (ok) on 24-Фев-09, 03:38
	>туда поставлю железку — и, что, responsiveness для клиентов увеличится? Больше ресурсов проца другим достанется.А вы думаете, шифровать, например, гигабит - это ерунда?Черта с два, проц пригрузится как делать нефиг.Если в него вообще не упрется все.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Вышел релиз OpenSSH 5.2"		+/–
Сообщение от 2deskpot on 24-Фев-09, 15:37
Нужны числа? Начните качать с сайта большой файл на хорошей скорости (скажем, 100 мегабит) по https. И смотрите загрузку проца в это время. Если вам не нравится такая загрузка, то вам может помочь аппаратные решения. Особенно, если скорость канала в интернет данного сервера куда больше скорости, на которой качался файл. Можно обосновать математически: Имеем уравнение: (ширина канала)/(скорость закачки) = 100%/(загрузка проца одной такой закачкой) Если правая и левая части уровнения равны, значит ваша система справится с шифрованием всего трафика. Если правая часть меньше, значит не справится. Пример: ширина канала = 1000Mb/s скорость закачки = 100Mb/s 100% = 100% загрузка одной закачкой = 10% 1000/100 = 100%/10% - проц справляется (правда при 1Gbps будет загружен на 100%) Другой пример: загрузка одной закачкой = 20 1000/100 = 100/20 - проц сможет осилить только половину скорости канала (если весь трафик будет шифроваться) Ну и т.д. Вывод: В каждом случае будет свой ответ на вопрос "а нужна ли железяка?".
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Вышел релиз OpenSSH 5.2"		+/–
Сообщение от fgs (ok) on 16-Июн-09, 18:59
>
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]