Wasanidi wa mradi wa OpenSSH wamewasilisha mpango wa kukomesha usaidizi wa funguo kulingana na algoriti ya DSA. Kwa viwango vya kisasa, funguo za DSA hazitoi kiwango kinachofaa cha ulinzi, kwa kuwa hutumia ufunguo wa kibinafsi wa biti 160 pekee na heshi ya SHA1, ambayo kwa suala la kiwango cha usalama inalingana na takriban ufunguo wa 80-bit.
Kwa chaguo-msingi, matumizi ya funguo za DSA yalikomeshwa mwaka wa 2015, lakini usaidizi wa DSA umesalia kama chaguo, kwa kuwa kanuni hii ndiyo pekee inayohitajika kwa utekelezaji katika itifaki ya SSHv2. Sharti hili liliongezwa kwa sababu wakati itifaki ya SSHv2 ilipoundwa na kuidhinishwa, algoriti zote mbadala zilikuwa chini ya hataza. Tangu wakati huo, hali imebadilika, hati miliki zinazohusiana na RSA zimeisha muda wake, algorithm ya ECDSA imeongezwa, ambayo ni bora zaidi kuliko DSA katika utendaji na usalama, pamoja na EdDSA, ambayo ni salama na ya haraka zaidi kuliko ECDSA. Sababu pekee ya kuendelea na usaidizi wa DSA ilikuwa kudumisha uoanifu na vifaa vilivyopitwa na wakati.
Baada ya kutathmini hali katika hali halisi ya sasa, wasanidi programu wa OpenSSH walifikia hitimisho kwamba gharama za kuendelea kudumisha algoriti ya DSA isiyo salama si halali na kuondolewa kwake kutahimiza kusitishwa kwa usaidizi wa DSA katika utekelezaji mwingine wa SSH na maktaba za kriptografia. Toleo la Aprili la OpenSSH linapanga kuhifadhi muundo wa DSA, lakini kutoa uwezo wa kuzima DSA kwa wakati wa kukusanya. Katika toleo la Juni la OpenSSH, DSA itazimwa kwa chaguomsingi wakati wa kujenga, na utekelezaji wa DSA utaondolewa kwenye msingi wa kanuni mapema 2025.
Watumiaji wanaohitaji usaidizi wa DSA ya upande wa mteja wataweza kutumia miundo mbadala ya matoleo ya zamani ya OpenSSH, kama vile kifurushi kilichotolewa na Debian "openssh-client-ssh1", kilichojengwa juu ya OpenSSH 7.5 na iliyoundwa kuunganisha kwa seva za SSH kwa kutumia. itifaki ya SSHv1, ambayo ilikomeshwa katika OpenSSH 7.6 miaka sita iliyopita.
Chanzo: opennet.ru