EG>> Повторяю мысль: объявлению о том, что DSS пользоваться не надо, EG>> порядка 10 лет. Последние годы оно поддерживалось исключительно EG>> в виде "переходного периода". А в motd все возможные incompatible EG>> changes из OpenSSH ChangeLog, из OpenSSL, из Heimdail etc. не EG>> засунешь.
VN> "Повторяю мысль": админ/юзер, который о криптографии хочет и может знать только VN> то, что она достаточно надёжна для его задач, может и не помнить, что DSS чем-то VN> с точки зрения спецов плох. Это не его задача.
Ему не надо этого помнить. Ему надо Release Notes перед мажорным обновлением прочитать и всё.
VN> Я даже больше скажу - я, как следящий одним ухом за этими процессами, ожидал, VN> что RSA будет выпилен, а DSS останется, потому что про неизбежный крах RSA разве VN> что из утюга не вещали. И именно это вещали ~10 лет назад (так что в рассказе VN> про сроки ты, мягко говоря, лукавишь).
В каком это месте я лукавлю? Все сроки, что я называл, взяты из анонсов - думаешь, я их помнил наизусть?
VN> Тенденция на выключение именно DSS при VN> оставлении RSA(!) - это не более последних 5 лет.
И ты тоже не помнишь, но ты бы хоть проверял, прежде чем говорить. Hавскидку, нынешний /usr/src/UPDATING:
20080801: � OpenSSH has been upgraded to 5.1p1.
� For many years, FreeBSD's version of OpenSSH preferred DSA � over RSA for host and user authentication keys. With this � upgrade, we've switched to the vendor's default of RSA over � DSA. [skip]
� This can be circumvented by setting the "HostKeyAlgorithms" � option to "ssh-dss,ssh-rsa" in ~/.ssh/config or on the ssh � command line.
[skip]
А это уже ломало неинтерактивную авторизацию через ssh (без псевдотерминала), если она до этого работала по DSA - вместо использования заранее сохраненного в authorized_keys ключа sshd тупо начинал отбивать коннект, если не поменять с тех пор дефолтный порядок "ssh-rsa,ssh-dss" на старый "ssh-dss,ssh-rsa" как в цитате выше или не перейти на RSA уже тогда. А "For many years" уже тогда означало около семи лет - соответствующее изменение в OpenSSH CVS Head было сделано в конце 2000-го, а зарелизено, видимо, в 2001.
Так что тенденции-то этой втрое больше, чем 5 лет.
VN> И если происходит такое критическое удаление компонента из инфраструктуры, где VN> отказ доступа может приводить к серьёзнейшим затратам на его восстановление - об VN> этом _должны_ предупреждать заранее и плотно, и никак не где-то внутри одного VN> продукта.
Во-первых, в бесплатных пакетах никто ничего не должен :-) Во-вторых, предупреждали сильно заранее, и не сильно заранее тоже (год-полтора назад), и непосредственно перед (в ReleaseNotes), а что такое "плотно", мне непонятно - по радио каждый день передавать?
VN> Hапример, меня бы устроила тут жалоба в каждом security run output. Почему вот VN> такое для какого-то хреноминорного модуля сделали: VN> p5-Net-SMTP-SSL-1.04: Tag: expiration_date Value: 2017-03-31 VN> p5-Net-SMTP-SSL-1.04: Tag: deprecated Value: Deprecated by upstream, use VN> Net::SMTP instead VN> а для SSH - молчат?
Hу тебя может бы и устроила, но те, кто не читает Release Notes хотя бы раз в мажорный апгрейд, в большинстве своём и ежедневный run output тоже не ага.
