Kurze Ansage von OpenSSH: RSA/SHA1 Signing Algorithmen werden in Kürze abgeschaltet.
OpenSSH 8.7 verfügbar
Weil der Angriff auf einen RSA-SHA1 Hash bereits für unter 50.000 $US zu haben ist, hat sich die OpenSSH Gemeinde entschlossen, diesen Signing-Algorithmus in der nächsten Release abzuschalten. Als Alternative wird rsa-sha2-256/512 empfohlen, oder gleich der Umstieg auf ecdsa-basierte Signaturalgorithmen.
Jetzt werden diese Algorithmen ja nicht gleich aus OpenSSH entfernt, sondern erstmal nur abgeschaltet. Falls mal also ein Problem damit haben sollte, auf alte Server drauf zu kommen, die seit langem keine Updates mehr gesehen haben, kann man es einfach wieder einschalten. Ein kleiner Test kann Euch jetzt bereits zeigen, ob Ihr davon betroffen seid:
ssh -oHostKeyAlgorithms=-ssh-rsa user@host
Ich habe das bei mir mal getan und konnte selbst auf einem Android 4 SSH Server von Anno 2016, keine Probleme feststellen. Sorgen muß man sich also kaum welche machen.
Das Ende von SCP
Das Ende von SCP dagegen rückt immer näher. Zur Zeit werden an SFTP Änderungen vorgenommen, die es erlauben, Daten von einem Server direkt zum anderen Server zu kopieren, so wie das mit scp auch möglich ist. Alternativ würden ja Dinge wie – ssh root@server1 „sftp file root@server2:/path/“ – auch funktionieren, auch wenn sie nicht ganz so elegant wären 😉
Die anderen Änderungen sind eher sehr speziell und werden Euch nicht direkt betreffen.