GitHub het veranderinge aan die diens aangekondig wat verband hou met die versterking van die sekuriteit van die Git-protokol wat gebruik word vir git push- en git pull-bewerkings oor SSH of die "git://"-skema (versoeke via https:// sal nie beïnvloed word nie). Sodra hierdie veranderinge in werking tree, sal verbinding met GitHub via SSH ten minste OpenSSH weergawe 7.2 (vrygestel in 2016) of PuTTY weergawe 0.75 (vrygestel in Mei vanjaar) vereis. Byvoorbeeld, versoenbaarheid met die SSH-kliënt wat ingesluit is by CentOS 6 en Ubuntu 14.04, waarvan die ondersteuning reeds gestaak is.
Die veranderinge sluit in die verwydering van ondersteuning vir ongeënkripteerde oproepe na Git (via “git://”) en verhoogde vereistes vir SSH-sleutels wat gebruik word wanneer toegang tot GitHub verkry word. GitHub sal ophou om alle DSA-sleutels en verouderde SSH-algoritmes soos CBC-syfers (aes256-cbc, aes192-cbc aes128-cbc) en HMAC-SHA-1 te ondersteun. Daarbenewens word bykomende vereistes vir nuwe RSA-sleutels ingestel (die gebruik van SHA-1 sal verbied word) en ondersteuning vir ECDSA en Ed25519 gasheersleutels word geïmplementeer.
Veranderinge sal geleidelik ingestel word. Op 14 September sal nuwe ECDSA- en Ed25519-gasheersleutels gegenereer word. Op 2 November sal ondersteuning vir nuwe SHA-1-gebaseerde RSA-sleutels gestaak word (voorheen gegenereerde sleutels sal aanhou werk). Op 16 November sal ondersteuning vir gasheersleutels gebaseer op die DSA-algoritme gestaak word. Op 11 Januarie 2022 sal ondersteuning vir ouer SSH-algoritmes en die vermoë om toegang te verkry sonder enkripsie tydelik as 'n eksperiment gestaak word. Op 15 Maart sal ondersteuning vir ou algoritmes heeltemal gedeaktiveer word.
Daarbenewens kan ons daarop let dat 'n verstekverandering aan die OpenSSH-kodebasis gemaak is wat die verwerking van RSA-sleutels deaktiveer gebaseer op die SHA-1-hash ("ssh-rsa"). Ondersteuning vir RSA-sleutels met SHA-256 en SHA-512 hashes (rsa-sha2-256/512) bly onveranderd. Die staking van ondersteuning vir "ssh-rsa" sleutels is te wyte aan die verhoogde doeltreffendheid van botsingsaanvalle met 'n gegewe voorvoegsel (die koste om 'n botsing te kies word op ongeveer 50 duisend dollar geskat). Om die gebruik van ssh-rsa op jou stelsels te toets, kan jy probeer om via ssh te koppel met die “-oHostKeyAlgorithms=-ssh-rsa” opsie.
Bron: opennet.ru
