de.openvms.org - Für die deutschsprachige VMS-Community http://de.openvms.org/stories.php?story=14/10/30/3971383

SSH CBC-Chiffren werden evtl. nicht mehr akzeptiert [UPDATE]
Sicherheit - 30-Oct-2014 07:26 UTC
Es besteht die Möglichkeit, dass sich der OpenVMS-SSH-Client nicht mehr mit neueren (oder auf Sicherheit konfigurierten) SSH-Servern verbinden kann; u.a. werden Verbindungen zu OpenSSH ab Version 6.7 per Default abgelehnt.

Der allgemein genutzte OpenVMS-SSH-Client "SSH Secure Shell OpenVMS (V5.5) 3.2.0" bietet die folgenden Chiffren:
3des-cbc, aes256-cbc, aes192-cbc, aes128-cbc, blowfish-cbc, twofish-cbc, twofish256-cbc, twofish192-cbc, twofish128-cbc, des-cbc@ssh.com, cast128-cbc, rc2-cbc@ssh.com, arcfour, none

Verbindungen von diesem SSH-Client werden von vielen neueren SSH-Servern abgelehnt. Insbesondere wird man sich mit dieser Chiffre-Auswahl nioht mit OpenSSH-Servern ab Version 6.7 verbinden können, die mit den Standard-Einstellungen betrieben werden.

Die Releasenotes von OpenSSH 6.7 verraten den Grund: "Unsichere Algorithmen wurden aus dem Standard-Satz an Chiffren und MACs entfernt. Insbesondere sind standardmäßig CBC-Chiffren und arcfour* abgeschaltet."

Man wird wohl einen aktuelleren SSH-Client für OpenVMS finden oder die Einstellungen von betroffenen SSH-Servern ändern müssen.

Der SSH-Client von TCPware ("Reflection for Secure IT 6.1.0.16 on Process Software TCPware", getestet auf TCPware v5.8) bietet die folgenden Chiffren:
aes128-cbc,aes128-ctr,aes192-cbc,aes192-ctr,aes256-cbc,aes256-ctr,3des-cbc,3des-ctr,blowfish-cbc,blowfish-ctr,des-cbc@ssh.com,rc2-cbc@ssh.com,none
Die Verwendung des CTR-Modus wird in der CERT-Veröffentlichung zur CBC-Lücke ausdrücklich erwähnt.

Update: TCP/IP Services for OpenVMS 5.7 ECO5 für OpenVMS I64 und Alpha aktualisiert SSH/SFTP/SCP mit CTR-Modus-Chiffren. Damit liest sich die Liste der unterstützten Chiffren wie folgt: 3des-cbc,aes256-cbc,aes192-cbc,aes128-cbc,aes256-ctr,aes192-ctr,aes128-ctr,blowfish-cbc,twofish-cbc,twofish256-cbc,twofish192-cbc,twofish128-cbc,des-cbc@ssh.com,cast128-cbc,rc2-cbc@ssh.com,arcfour,none


Meldung bei HoffmanLabs