GitHub het veranderinge aan die diens aangekondig wat verband hou met die versterking van die sekuriteit van die Git-protokol wat gebruik word tydens git push en git pull bedrywighede via SSH of die "git://" skema (versoeke via https:// sal nie deur die veranderinge geraak word nie). Sodra die veranderinge in werking tree, sal die verbinding met GitHub via SSH ten minste OpenSSH weergawe 7.2 (vrygestel in 2016) of PuTTY weergawe 0.75 (vrygestel in Mei vanjaar) vereis. Byvoorbeeld, versoenbaarheid met die SSH-kliënt wat in CentOS 6 en Ubuntu 14.04 ingesluit is, wat nie meer ondersteun word nie, sal verbreek word.
Die veranderinge sluit in die verwydering van ondersteuning vir ongeënkripteerde oproepe na Git (via “git://”) en verhoogde vereistes vir SSH-sleutels wat gebruik word wanneer toegang tot GitHub verkry word. GitHub sal ophou om alle DSA-sleutels en verouderde SSH-algoritmes soos CBC-syfers (aes256-cbc, aes192-cbc aes128-cbc) en HMAC-SHA-1 te ondersteun. Daarbenewens word bykomende vereistes vir nuwe RSA-sleutels ingestel (die gebruik van SHA-1 sal verbied word) en ondersteuning vir ECDSA en Ed25519 gasheersleutels word geïmplementeer.
Veranderinge sal geleidelik ingestel word. Op 14 September sal nuwe ECDSA- en Ed25519-gasheersleutels gegenereer word. Op 2 November sal ondersteuning vir nuwe SHA-1-gebaseerde RSA-sleutels gestaak word (voorheen gegenereerde sleutels sal aanhou werk). Op 16 November sal ondersteuning vir gasheersleutels gebaseer op die DSA-algoritme gestaak word. Op 11 Januarie 2022 sal ondersteuning vir ouer SSH-algoritmes en die vermoë om toegang te verkry sonder enkripsie tydelik as 'n eksperiment gestaak word. Op 15 Maart sal ondersteuning vir ou algoritmes heeltemal gedeaktiveer word.
Daarbenewens kan ons daarop let dat 'n verstekverandering aan die OpenSSH-kodebasis gemaak is wat die verwerking van RSA-sleutels deaktiveer gebaseer op die SHA-1-hash ("ssh-rsa"). Ondersteuning vir RSA-sleutels met SHA-256 en SHA-512 hashes (rsa-sha2-256/512) bly onveranderd. Die staking van ondersteuning vir "ssh-rsa" sleutels is te wyte aan die verhoogde doeltreffendheid van botsingsaanvalle met 'n gegewe voorvoegsel (die koste om 'n botsing te kies word op ongeveer 50 duisend dollar geskat). Om die gebruik van ssh-rsa op jou stelsels te toets, kan jy probeer om via ssh te koppel met die “-oHostKeyAlgorithms=-ssh-rsa” opsie.
Bron: opennet.ru