<div dir="ltr"><div dir="ltr">On Tue, Dec 16, 2025 at 2:35 AM Tobias Leupold <<a href="mailto:tl@stonemx.de">tl@stonemx.de</a>> wrote:</div><div class="gmail_quote gmail_quote_container"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">E-Mail von Sune Vuorela vom Montag, 15. Dezember 2025, 13:55:<br>
> On 2025-12-15, Tobias Leupold <<a href="mailto:tl@stonemx.de" target="_blank">tl@stonemx.de</a>> wrote:<br>
> > as of recently, I get the following warning when communicating with<br>
> > <a href="http://invent.kde.org" rel="noreferrer" target="_blank">invent.kde.org</a>:<br>
> ><br>
> >     $ git pull<br>
> >     ** WARNING: connection is not using a post-quantum key exchange<br>
> >        algorithm.<br>
> >     ** This session may be vulnerable to "store now, decrypt later"<br>
> >        attacks.<br>
> >     ** The server may need to be upgraded. See <a href="https://openssh.com/pq.html" rel="noreferrer" target="_blank">https://openssh.com/pq.html</a><br>
> ><br>
> > Should we do something about this?<br>
> <br>
> We should probably at some point, but luckily we don't really do secret<br>
> things on invent.<br>
<br>
Well, that's the "I have nothing to hide" attitude that makes people use <br>
WhatsApp ...<br>
<br>
> Also, <a href="https://kawaiicon.org/talks/quantum-cryptanalysis/" rel="noreferrer" target="_blank">https://kawaiicon.org/talks/quantum-cryptanalysis/</a> and<br>
> <a href="http://www.cs.auckland.ac.nz/~pgut001/pubs/bollocks.pdf" rel="noreferrer" target="_blank">http://www.cs.auckland.ac.nz/~pgut001/pubs/bollocks.pdf</a><br>
<br>
A critical reader might consider this a rant ;-)<br>
<br>
> /Sune<br>
<br>
No hard feelings, I just thought the OpenSSH guys probably know what they're <br>
talking about. Also, I don't get such a warning when connecting to the other <br>
servers I use, so I simply wondered what's up here and why.<br></blockquote><div><br></div><div>We had some older "secure at the time" recommendations deployed on <a href="http://invent.kde.org">invent.kde.org</a> that came from Mozilla, which resulted in some algorithms being enabled that don't meet those standards.</div><div>While still well within distribution support, Invent is a little older and doesn't support the very latest ciphers, etc - but i've modernised it as best as possible based on feedback from ssh-audit now.</div><div><br></div><div>Proper fix will need to wait for it to migrate to a newer system which should take place in the next few months.</div><div><br></div><div>Thanks,</div><div>Ben</div><div> </div></div></div>