В предстоящем выпуске OpenSSH 6.8 будет доступна новая функция [ hostkeys@openssh.com ]( http://bxr.su/OpenBSD/usr.bin/ssh/PROTOCOL#285 ) , реализующая [ высылку ]( http://bxr.su/OpenBSD/usr.bin/ssh/sshd.c#notify_hostkeys ) , [ захват ]( http://bxr.su/OpenBSD/usr.bin/ssh/clientloop.c#client_input_hostkeys ) и [ обновление ]( http://bxr.su/OpenBSD/usr.bin/ssh/hostfile.c#hostfile_replace_entries ) всех доступных ключей доверяемого узла в ~/.ssh/known_hosts.На стороне сервера, [ sshd будет посылать все имеющиеся открытые ключи узла ]( http://bxr.su/OpenBSD/usr.bin/ssh/sshd.c#notify_hostkeys ) клиенту. В свою очередь, [ клиент ]( http://bxr.su/OpenBSD/usr.bin/ssh/clientloop.c#client_input_hostkeys ) будет осуществлять [ замену всех имеющихся ключей ]( http://bxr.su/OpenBSD/usr.bin/ssh/hostfile.c#hostfile_replace_entries ) доверяемого узла на таким образом новые предоставленные. Для отключения автообновления ключей [ имеется ]( http://bxr.su/OpenBSD/usr.bin/ssh/ssh_config.5 ) параметр UpdateHostKeys в [ ssh_config(5) ]( http://mdoc.su/o/ssh_config.5 ) .Функция была разработана дабы сделать переход с [ DSA ]( http://bxr.su/OpenBSD/usr.bin/ssh/ssh-dss.c ) из [ OpenSSL ]( http://ports.su/security/openssl ) / [ LibReSSL ]( http://bxr.su/OpenBSD/lib/libssl/src/crypto/dsa/dsa_sign.c ) на [ интегрированные ]( http://bxr.su/OpenBSD/usr.bin/ssh/ed25519.c ) [ ключи ]( http://bxr.su/OpenBSD/usr.bin/ssh/sshkey.c#keytypes ) [ Ed25519 ]( http://bxr.su/OpenBSD/usr.bin/ssh/ssh-ed25519.c ) более дружелюбным, таким образом продолжая путь [ избавления от необходимости использования криптографии из библиотеки OpenSSL ]( https://www.linux.org.ru/news/security/10440902 ) в пользу криптографии тов. [ D. J. Bernstein ]( http://cr.yp.to/djb.html ) в общественном достоянии. Сам DJB от комментариев воздержался. //feeds.feedburner.com/~r/org/LOR/~4/IZzHa2f1N8g
Ссылка: http://www.linux.org.ru/news/security/11276939