Тату Улёнен (Tatu Ylonen), разработчик SSH-протокола, предложил решение проблемы неподтвержденных мошеннических ключей. По его мнению, для этого необходимо создать более управляемую версию протокола Secure Shell.
Улёнен в соавторстве с экспертом Национального Института стандартов и технологий США Муругья Соуппаей (Murugiah Souppaya) и исследователем Secure IT Грегом Кентом (Greg Kent) представил Инженерному совету интернета (Internet Engineering Task Force, IETF) проект, который предлагает руководящие принципы для «обнаружения, ликвидации последствий и постоянного управления SSH-ключами».
Вот некоторые из рекомендаций, дающихся в проекте:
1. Перемещать ключи в защищенные места.
2. Удалять неиспользуемые ключи.
3. Связывать авторизованные ключи с бизнес-процессом или приложениями.
4. Удалять ключи, назначение которых не определено.
5. Чередовать ключи.
6. Ограничивать действия, совершаемые с ключами.
7. Создавать процесс утверждения новых ключей.
Создатели проекта отмечают, что очень часто SSH-ключей гораздо больше, чем пользователей. Экспертам удалось обнаружить более миллиона SSH-ключей авторизации в системах организаций, и это представляет реальную угрозу для их безопасности. При этом, по мнению Улёнена, несмотря на рекомендации по улучшению управления SSH-ключами, существует насущная потребность в разработке новой версии SSH-протокола. Сейчас в мире используется версия SSH-2, разработанная еще в 2006 году.