OpenSSH เตรียมยกเลิกรองรับการล็อกอินด้วย SHA-1

5

OpenSSH ได้ประกาศแผนเตรียมจะยกเลิกการรองรับใช้ SHA-1 ในการพิสูจน์ตัวตน เพราะถือว่าไม่มั่นปลอดภัยเพียงพออีกต่อไป

Credit: OpenSSH

ไอเดียก็คือเมื่อปี 2017 SHA-1 ได้ถูกชี้ว่าไม่มั่นคงปลอดภัยอีกต่อไปแล้ว เพราะทำ Collision Attack ได้ในทางปฏิบัติ (Google SHAttered) ต่อมาด้วยเทคโนโลยีที่พัฒนาขึ้น ทำให้ Cost ของการโจมตีถูกลง

ล่าสุด OpenSSH ได้เล็งเห็นความสำคัญจึงเตรียมที่จะปิด ssh-rsa public key ไว้เป็นค่าพื้นฐานใน release ใหม่ๆ สำหรับใครที่ไม่คุ้นต้องอธิบายว่าผู้ใช้งาน OpenSSH ที่เข้าไปจัดการเซิร์ฟเวอร์จะสามารถสร้าง SSH Authentication Key เก็บไว้บนเซิร์ฟเวอร์และเครื่อง Local ได้ และ Key ที่เก็บไว้มาตรวจสอบโดยไม่ต้องอาศัยรหัสผ่านทุกครั้ง ดังนั้นในอนาคตทางทีมงาน OpenSSH จึงแนะให้ใช้ rsa-sha2-256/512 (รองรับตั้งแต่ OpenSSH 7.2), ssh-ed25519 (รองรับตั้งแต่ OpenSSH 6.5) หรือ ecdsa-sha2-nistp256/384/521 (รองรับตั้งแต่ OpenSSH 5.7) แทน

อย่างไรก็ดีทีมงาน OpenSSH ยังวางแผนที่จะเปิดฟีเจอร์ UpdateHostKeys โดย Default เพื่อช่วยให้เจ้าของเซิร์ฟเวอร์ Migrate จากการใช้ ssh-rsa ไปยังอัลกอริทึมอื่นๆ ที่ดีกว่าได้ง่ายขึ้น นอกจากนี้ตั้งแต่  OpenSSH เวอร์ชัน 8.2 ขึ้นมาได้มีการรองรับ Hardware Security Key อย่าง FIDO/U2D-based แล้ว

ที่มา :  https://www.zdnet.com/article/openssh-to-deprecate-sha-1-logins-due-to-security-risk/

ที่มา : https://www.techtalkthai.com/