OpenSSH projekto kūrėjai pristatė planą nutraukti DSA algoritmu pagrįstų raktų palaikymą. Pagal šiuolaikinius standartus DSA raktai neužtikrina tinkamo saugumo lygio, nes naudoja tik 160 bitų privatųjį raktą ir SHA1 maišą, kuri saugos lygiu atitinka maždaug 80 bitų simetrinį raktą.
Pagal numatytuosius nustatymus DSA raktų naudojimas buvo nutrauktas 2015 m., tačiau DSA palaikymas paliktas kaip parinktis, nes šis algoritmas yra vienintelis reikalingas SSHv2 protokole įdiegti. Šis reikalavimas buvo pridėtas, nes SSHv2 protokolo sukūrimo ir patvirtinimo metu visi alternatyvūs algoritmai buvo patentuoti. Nuo to laiko situacija pasikeitė, pasibaigė su RSA susiję patentai, pridėtas ECDSA algoritmas, kuris našumu ir saugumu gerokai pranoksta DSA bei EdDSA, kuri yra saugesnė ir greitesnė už ECDSA. Vienintelis veiksnys tęsiant DSA palaikymą buvo suderinamumo su senais įrenginiais palaikymas.
Įvertinę situaciją esamomis realijomis, OpenSSH kūrėjai priėjo prie išvados, kad tolesnio nesaugaus DSA algoritmo palaikymo kaštai nėra pagrįsti, o jo pašalinimas paskatins DSA palaikymą kitose SSH diegimuose ir kriptografinėse bibliotekose. Balandžio mėnesio OpenSSH leidime planuojama išlaikyti DSA versiją, bet sudaryti galimybę išjungti DSA kompiliavimo metu. Birželio mėnesio OpenSSH leidime DSA bus išjungta pagal numatytuosius nustatymus kuriant, o DSA diegimas bus pašalintas iš kodų bazės 2025 m. pradžioje.
Vartotojai, kuriems reikalingas kliento DSA palaikymas, galės naudoti alternatyvius senesnių OpenSSH versijų statymus, pvz., Debian'o pateiktą paketą „openssh-client-ssh1“, sukurtą ant OpenSSH 7.5 ir skirtą prisijungti prie SSH serverių naudojant SSHv1 protokolas, kuris buvo nutrauktas OpenSSH 7.6 prieš šešerius metus.
Šaltinis: opennet.ru