Οι προγραμματιστές του έργου OpenSSH παρουσίασαν ένα σχέδιο τερματισμού της υποστήριξης για κλειδιά με βάση τον αλγόριθμο DSA. Σύμφωνα με τα σύγχρονα πρότυπα, τα κλειδιά DSA δεν παρέχουν το κατάλληλο επίπεδο ασφάλειας, καθώς χρησιμοποιούν ένα μέγεθος ιδιωτικού κλειδιού μόνο 160 bit και ένα κατακερματισμό SHA1, το οποίο ως προς το επίπεδο ασφάλειας αντιστοιχεί σε ένα συμμετρικό κλειδί 80 bit περίπου.
Από προεπιλογή, η χρήση κλειδιών DSA διακόπηκε το 2015, αλλά η υποστήριξη DSA παραμένει ως επιλογή, καθώς αυτός ο αλγόριθμος είναι ο μόνος που απαιτείται για υλοποίηση στο πρωτόκολλο SSHv2. Αυτή η απαίτηση προστέθηκε επειδή τη στιγμή της δημιουργίας και έγκρισης του πρωτοκόλλου SSHv2, όλοι οι εναλλακτικοί αλγόριθμοι υπόκεινταν σε διπλώματα ευρεσιτεχνίας. Έκτοτε, η κατάσταση άλλαξε, τα διπλώματα ευρεσιτεχνίας που σχετίζονται με το RSA έχουν λήξει, προστέθηκε ο αλγόριθμος ECDSA, ο οποίος υπερτερεί σημαντικά του DSA σε απόδοση και ασφάλεια, καθώς και το EdDSA, το οποίο είναι ασφαλέστερο και ταχύτερο από το ECDSA. Ο μόνος παράγοντας για τη συνέχιση της υποστήριξης DSA ήταν η διατήρηση της συμβατότητας με παλαιού τύπου συσκευές.
Έχοντας αξιολογήσει την κατάσταση στην τρέχουσα πραγματικότητα, οι προγραμματιστές του OpenSSH κατέληξαν στο συμπέρασμα ότι το κόστος συνέχισης της διατήρησης του μη ασφαλούς αλγόριθμου DSA δεν δικαιολογείται και η αφαίρεσή του θα ενθαρρύνει τη διακοπή της υποστήριξης DSA σε άλλες υλοποιήσεις SSH και κρυπτογραφικές βιβλιοθήκες. Η έκδοση Απριλίου του OpenSSH σχεδιάζει να διατηρήσει το build DSA, αλλά παρέχει τη δυνατότητα απενεργοποίησης του DSA κατά τη στιγμή της μεταγλώττισης. Στην έκδοση Ιουνίου του OpenSSH, το DSA θα απενεργοποιηθεί από προεπιλογή κατά τη δημιουργία και η υλοποίηση του DSA θα αφαιρεθεί από τη βάση κώδικα στις αρχές του 2025.
Οι χρήστες που χρειάζονται υποστήριξη DSA από την πλευρά του πελάτη θα μπορούν να χρησιμοποιούν εναλλακτικές εκδόσεις παλαιότερων εκδόσεων του OpenSSH, όπως το πακέτο "openssh-client-ssh1" που παρέχεται από το Debian, που είναι χτισμένο πάνω από το OpenSSH 7.5 και έχει σχεδιαστεί για σύνδεση με διακομιστές SSH χρησιμοποιώντας το πρωτόκολλο SSHv1, το οποίο διακόπηκε στο OpenSSH 7.6 πριν από έξι χρόνια.
Πηγή: opennet.ru