Разработчиците на проекта OpenSSH представиха план за прекратяване на поддръжката на ключове, базирани на алгоритъма DSA. Според съвременните стандарти DSA ключовете не осигуряват необходимото ниво на сигурност, тъй като използват частен ключ с размер само 160 бита и SHA1 хеш, което по отношение на нивото на сигурност съответства на приблизително 80-битов симетричен ключ.
По подразбиране използването на DSA ключове е преустановено през 2015 г., но поддръжката на DSA е оставена като опция, тъй като този алгоритъм е единственият, необходим за внедряване в протокола SSHv2. Това изискване беше добавено, защото по време на създаването и одобрението на протокола SSHv2 всички алтернативни алгоритми бяха обект на патенти. Оттогава ситуацията се промени, патентите, свързани с RSA, изтекоха, беше добавен алгоритъмът ECDSA, който значително превъзхожда DSA по производителност и сигурност, както и EdDSA, който е по-безопасен и по-бърз от ECDSA. Единственият фактор за продължаване на поддръжката на DSA беше поддържането на съвместимост с наследени устройства.
След като оцениха ситуацията в настоящите реалности, разработчиците на OpenSSH стигнаха до извода, че разходите за продължаване на поддържането на несигурния DSA алгоритъм не са оправдани и премахването му ще насърчи прекратяването на поддръжката на DSA в други реализации на SSH и криптографски библиотеки. Априлската версия на OpenSSH планира да запази изграждането на DSA, но предоставя възможност за деактивиране на DSA по време на компилиране. В юнското издание на OpenSSH DSA ще бъде деактивирано по подразбиране при изграждане, а внедряването на DSA ще бъде премахнато от кодовата база в началото на 2025 г.
Потребителите, които се нуждаят от поддръжка на DSA от страна на клиента, ще могат да използват алтернативни компилации на по-стари версии на OpenSSH, като предоставения от Debian пакет "openssh-client-ssh1", изграден върху OpenSSH 7.5 и проектиран да се свързва към SSH сървъри, използвайки протоколът SSHv1, който беше прекратен в OpenSSH 7.6 преди шест години.
Източник: opennet.ru