Из-за проблем с безопасностью OpenSSL я хотел бы вместо этого использовать NSS или GnuTLS. Для нужд сервера Apache это просто, поскольку для каждого из них существует модуль. Но для SSH это выглядит сложно, если не невозможно.
Dropbear встраивает собственные алгоритмы и не открыта для внешнего мира. Раньше OpenSSH собирался с OpenSSL, но через несколько месяцев можно собрать без него благодаря новой опции:
make OPENSSL=no
Но тогда используются программные криптографические алгоритмы из работ Д. Дж. Бернштейна. Это хорошо, но не для меня, потому что я буду использовать TPM и, следовательно, иметь доступ к уровню pkcs11. Как следствие, правильным решением будет сборка OpenSSH либо с NSS, либо с GnuTLS.
Я не могу ждать LibReSSL в Linux или использовать OpenBSD, которая только что выпустила его и сделала своим SSL слой по умолчанию.
Итак, мой вопрос: кто-то пытался и сумел собрать OpenSSH с NSS или GnuTLS вместо OpenSSL, или исправил Dropbear или любое другое решение, чтобы сервер SSH работал с аутентификацией TPM и EC?
Примечание: поскольку у меня ограниченные ресурсы, я не могу использовать OpenSSL с OpenSSH и NSS с Apache. Мне абсолютно необходимо минимизировать встроенные библиотеки.