Azure CLI 中 TripleDES 加密算法迁移问题解析

问题背景

在 Azure CLI 项目中，用户在使用 az aks create 命令创建 AKS 集群时遇到了关于 TripleDES 加密算法的警告信息。这些警告表明 TripleDES 算法已被迁移至 cryptography 库的特定模块中，并将在未来版本中被移除。

技术细节

TripleDES（3DES）是一种对称加密算法，作为 DES 算法的增强版本，通过三次应用 DES 算法来提高安全性。随着密码学技术的发展，TripleDES 已被认为是不够安全的加密标准，因此被标记为"废弃"（decrepit）状态。

在 cryptography 库的最新版本中，开发团队已经将 TripleDES 从主模块迁移到了专门的废弃模块中：

cryptography.hazmat.decrepit.ciphers.algorithms.TripleDES

问题表现

当用户执行 AKS 集群创建命令时，系统会输出以下警告信息：

CryptographyDeprecationWarning: TripleDES has been moved to cryptography.hazmat.decrepit.ciphers.algorithms.TripleDES and will be removed from this module in 48.0.0.

这些警告来自 paramiko 库的两个不同位置：

1. pkey.py 文件中的密钥处理部分
2. transport.py 文件中的传输层加密部分

解决方案

这个问题实际上已经在 Azure CLI 的更高版本中得到解决。用户遇到的警告主要是因为使用了较旧版本的 Azure CLI（2.65.0），而最新版本（2.67.0）已经包含了相关修复。

对于使用 Cloud Shell 的用户，由于环境中的 Azure CLI 版本可能不是最新的，建议手动更新 CLI 工具。在 Linux 环境中，可以通过包管理器进行更新；在 Windows 环境中，可以重新下载安装最新版本。

安全建议

虽然这个问题主要表现为警告信息，不影响命令的正常执行，但从安全角度考虑，建议：

1. 及时更新到最新版本的 Azure CLI 工具
2. 关注加密算法的安全更新，逐步替换使用废弃算法
3. 对于生产环境，考虑使用更现代的加密算法如 AES 替代 TripleDES

总结

这个问题展示了开源软件生态中加密算法演进的一个典型案例。随着安全标准的提升，旧有的加密算法会被逐步淘汰。作为开发者和管理员，应当保持对这类变化的敏感性，及时更新工具链，确保系统的安全性和稳定性。