解决macOS升级到Tahoe后ssh-dss算法失效的问题

本篇介绍如何在 macOS Tahoe（M芯片） 终端利用 ssh 继续通过 DSA 算法连接远程服务器，解决因 OpenSSH 升级带来的异常Bad key types '+ssh-dss'。

概述

macOS 近期推送了新的提供 Tahoe，系统升级的同时也升级了内部的 OpenSSH 组件到OpenSSH_10.0p2版本。根据 openssh 的计划 10.0 版本全面停止了对DSA算法的支持。

因此，在终端尝试使用DSA算法进行远程登录将报错：

-> ssh -oHostKeyAlgorithms=+ssh-dss username@hostBad key types '+ssh-dss'

OpenSSH 从 7.0 版本（2015 年发布）开始默认禁用 DSA（ssh-dss）密钥，并在 10.0 版本（macOS Tahoe正在使用的版本）中完全移除支持。主要原因在于 DSA（ssh-dss）算法的固定密钥只有 1024 位，现有的算力下已不再安全。

下面将介绍如何借助 brew 安装 OpenSSH_8.9p1 来解决该问题。

快速解决

提醒：

1. 下面流程默认系统中已安装 Homebrew，如果没有参考 Homebrew 官网安装方式
2. 下面命令执行流程必须顺序执行
3. OpenSSH_9.x 版本仍然无法使用 DSA 算法，不要尝试使用该版本解决此问题

Homebrew Tap
原意是水龙头（Tap），可以简单理解成 Homebrew 的软件仓库，Homebrew 允许从第三方的软件仓库下载并安装。

1. 创建第三方 Homebrew Tap

brew tap $USER/my-tap https://gitee.com/TonyaBaSy/homebrew-tap.git

2. 安装 OpenSSL 1.1（OpenSSH 8.9p1 依赖该版本的 OpenSSL）

brew install $USER/my-tap/openssl@1.1

3. 安装 OpenSSL 8.9p1

brew install $USER/my-tap/openssh

相关说明

由于 Homebrew 已经不再提供 OpenSSL@1.1 版本，因此需要通过第三方仓库下载，本文中使用的 OpenSSL@1.1 Formula 是笔者自己构建。

OpenSSL 安装过程中需要基于 OpenSSL 官网下载源码并进行编译，编译需要一定时间（取决于机器性能）。这里将来自 OpenSSL 官网的源码放在了 Git 仓库中可以大大加快国内用户的下载。

OpenSSH-8.9p1 的 Tap Formula 来自 Homebrew Github 仓库。

关于本篇文档有任何疑问或者问题欢迎评论区交流或发邮件给我。