Die ontwikkelaars van die OpenSSH-projek het 'n plan voorgelê om ondersteuning vir sleutels te beëindig, gebaseer op die DSA-algoritme. Volgens moderne standaarde bied DSA-sleutels nie die regte vlak van sekuriteit nie, aangesien hulle 'n private sleutelgrootte van slegs 160 bisse en 'n SHA1-hash gebruik, wat in terme van sekuriteitsvlak ooreenstem met ongeveer 'n 80-bis simmetriese sleutel.
By verstek is die gebruik van DSA-sleutels in 2015 gestaak, maar DSA-ondersteuning word as 'n opsie gelaat, aangesien hierdie algoritme die enigste een is wat nodig is vir implementering in die SSHv2-protokol. Hierdie vereiste is bygevoeg omdat alle alternatiewe algoritmes ten tyde van die skepping en goedkeuring van die SSHv2-protokol aan patente onderhewig was. Sedertdien het die situasie verander, die patente wat met RSA geassosieer word, het verval, die ECDSA-algoritme is bygevoeg, wat aansienlik beter is as DSA in prestasie en sekuriteit, asook EdDSA, wat veiliger en vinniger as ECDSA is. Die enigste faktor in die voortgesette DSA-ondersteuning was die handhawing van verenigbaarheid met verouderde toestelle.
Nadat hulle die situasie in die huidige realiteite beoordeel het, het die OpenSSH-ontwikkelaars tot die gevolgtrekking gekom dat die koste om voort te gaan om die onveilige DSA-algoritme te handhaaf nie geregverdig is nie en die verwydering daarvan sal die staking van DSA-ondersteuning in ander SSH-implementerings en kriptografiese biblioteke aanmoedig. Die April-vrystelling van OpenSSH beplan om die DSA-bou te behou, maar bied die vermoë om DSA te deaktiveer tydens samestelling. In die Junie-vrystelling van OpenSSH sal DSA by verstek gedeaktiveer word wanneer dit gebou word, en die DSA-implementering sal vroeg in 2025 van die kodebasis verwyder word.
Gebruikers wat kliënt-kant DSA-ondersteuning benodig, sal alternatiewe weergawes van ouer weergawes van OpenSSH kan gebruik, soos die Debian-verskafde pakket "openssh-client-ssh1", gebou bo-op OpenSSH 7.5 en ontwerp om aan SSH-bedieners te koppel deur gebruik te maak van die SSHv1-protokol, wat ses jaar gelede in OpenSSH 7.6 gestaak is.
Bron: opennet.ru