D'Entwéckler vum OpenSSH-Projet hunn e Plang presentéiert fir d'Ënnerstëtzung fir Schlësselen op Basis vum DSA Algorithmus ofzeschléissen. Mat modernen Normen bidden DSA Schlësselen net de passenden Sécherheetsniveau, well se eng privat Schlësselgréisst vun nëmmen 160 Bits benotzen an e SHA1 Hash, wat a punkto Sécherheetsniveau ongeféier engem 80-Bit symmetresche Schlëssel entsprécht.
Par défaut gouf d'Benotzung vun DSA Schlësselen am Joer 2015 gestoppt, awer DSA Ënnerstëtzung ass als Optioun lénks, well dësen Algorithmus deen eenzegen ass fir d'Ëmsetzung am SSHv2 Protokoll néideg. Dës Fuerderung gouf bäigefüügt well an der Zäit vun der Schafung an der Genehmegung vum SSHv2 Protokoll all alternativ Algorithmen ënner Patenter ënnerworf goufen. Zënterhier ass d'Situatioun geännert, d'Patenter verbonne mat RSA sinn ofgelaaf, den ECDSA Algorithmus gouf bäigefüügt, deen däitlech iwwer DSA a Leeschtung a Sécherheet ass, souwéi EdDSA, wat méi sécher a méi séier ass wéi ECDSA. Deen eenzege Faktor fir weider DSA Ënnerstëtzung war d'Kompatibilitéit mat legacy Geräter z'erhalen.
Nodeems d'Situatioun an den aktuellen Realitéite bewäert hunn, sinn d'OpenSSH Entwéckler zu der Conclusioun komm datt d'Käschte fir den onsécheren DSA Algorithmus weider ze halen net gerechtfäerdegt sinn a seng Entfernung wäert d'Cessatioun vun der DSA-Ënnerstëtzung an anere SSH-Implementatiounen a kryptographesche Bibliothéiken encouragéieren. D'Abrëll Verëffentlechung vun OpenSSH plangt den DSA Build ze behalen, awer bitt d'Fäegkeet DSA bei der Kompiléierungszäit auszeschalten. An der Juni Verëffentlechung vun OpenSSH gëtt DSA par défaut behënnert beim Bauen, an d'DSA Implementatioun gëtt fréi 2025 aus der Codebase geläscht.
D'Benotzer déi Client-Säit DSA-Ënnerstëtzung erfuerderen, kënnen alternativ Builds vun eelere Versioune vun OpenSSH benotzen, sou wéi den Debian geliwwert Package "openssh-client-ssh1", gebaut uewen op OpenSSH 7.5 an entwéckelt fir mat SSH Serveren ze verbannen den SSHv1 Protokoll, dee viru sechs Joer am OpenSSH 7.6 gestoppt gouf.
Source: opennet.ru