Programeri projekta OpenSSH predstavili su plan za ukidanje podrške za ključeve temeljene na DSA algoritmu. Prema suvremenim standardima, DSA ključevi ne pružaju odgovarajuću razinu sigurnosti, budući da koriste privatni ključ veličine samo 160 bita i SHA1 hash, što u smislu sigurnosne razine odgovara otprilike 80-bitnom simetričnom ključu.
Standardno je korištenje DSA ključeva ukinuto 2015. godine, ali je DSA podrška ostavljena kao opcija, budući da je ovaj algoritam jedini potreban za implementaciju u SSHv2 protokolu. Ovaj zahtjev je dodan jer su u vrijeme stvaranja i odobrenja SSHv2 protokola svi alternativni algoritmi bili podložni patentima. Od tada se situacija promijenila, patenti vezani uz RSA su istekli, dodan je ECDSA algoritam koji je znatno superiorniji od DSA u performansama i sigurnosti, kao i EdDSA koji je sigurniji i brži od ECDSA. Jedini čimbenik u nastavku podrške za DSA bilo je održavanje kompatibilnosti s naslijeđenim uređajima.
Procijenivši situaciju u trenutnoj stvarnosti, programeri OpenSSH-a došli su do zaključka da troškovi nastavka održavanja nesigurnog DSA algoritma nisu opravdani te će njegovo uklanjanje potaknuti prestanak DSA podrške u drugim SSH implementacijama i kriptografskim bibliotekama. Travanjsko izdanje OpenSSH-a planira zadržati DSA verziju, ali pruža mogućnost onemogućavanja DSA-a tijekom kompajliranja. U lipanjskom izdanju OpenSSH-a, DSA će biti onemogućen prema zadanim postavkama prilikom izgradnje, a implementacija DSA-a bit će uklonjena iz baze kodova početkom 2025.
Korisnici kojima je potrebna DSA podrška na strani klijenta moći će koristiti alternativne verzije starijih verzija OpenSSH-a, kao što je Debianov paket "openssh-client-ssh1", izgrađen povrh OpenSSH 7.5 i dizajniran za povezivanje na SSH poslužitelje koristeći protokol SSHv1, koji je ukinut u OpenSSH 7.6 prije šest godina.
Izvor: opennet.ru