GitHub анансаваў занясенне ў сэрвіс змен, злучаных з узмацненнем абароны пратаколу Git, ужывальнага падчас выкананні аперацый git push і git pull праз SSH або схему «git://» (звароты праз https:// змены не крануць). Пасля пачатку дзеяння змен для падлучэння да GitHub па SSH запатрабуецца прынамсі OpenSSH версіі 7.2 (выпушчаны ў 2016 году) або PuTTY версіі 0.75 (выпушчаны ў траўні гэтага года). Напрыклад, будзе парушана сумяшчальнасць з SSH-кліентам са складу CentOS 6 і Ubuntu 14.04, падтрымка якіх ужо спынена.
Змены зводзяцца да спынення падтрымкі нешыфраваных зваротаў да Git (праз «git://») і ўзмацненню патрабаванняў да SSH-ключам, выкарыстоўваным пры звароце да GitHub. GitHub спыніць падтрымку ўсіх DSA-ключоў і састарэлых алгарытмаў SSH, такіх як шыфры CBC (aes256-cbc, aes192-cbc aes128-cbc) і HMAC-SHA-1. Акрамя таго, уводзяцца дадатковыя патрабаванні да новых RSA-ключам (будзе забаронена ўжыванне SHA-1) і рэалізуецца падтрымка хостовых ключоў ECDSA і Ed25519.
Змяненні будуць даводзіцца паступова. 14 верасня будуць згенераваны новыя хостовые ключы ECDSA і Ed25519. 2 лістапада будзе спынена падтрымка новых ключоў RSA на базе SHA-1 (раней згенераваныя ключы прадоўжаць працу). 16 лістапада будзе спынена падтрымка хостовых ключоў на базе алгарытму DSA. 11 студзеня 2022 гады ў якасці эксперыменту будзе часова спыненая падтрымка старых алгарытмаў SSH і магчымасць звароту без шыфравання. 15 сакавіка падтрымка старых алгарытмаў будзе канчаткова адключана.
Дадаткова можна адзначыць занясенне ў кодавую базу OpenSSH змены па змаўчанні які адключае апрацоўку RSA-ключоў на базе хэша SHA-1 («ssh-rsa»). Падтрымка RSA-ключоў з хэшамі SHA-256 і SHA-512 (rsa-sha2-256/512) пакінутая без змен. Спыненне падтрымкі ключоў "ssh-rsa" абумоўлена павышэннем эфектыўнасці калізійных нападаў з зададзеным прэфіксам (кошт падбору калізіі ацэньваецца прыкладна ў 50 тысяч долараў). Для праверкі ўжывання ssh-rsa у сваіх сістэмах можна паспрабаваць падлучыцца па ssh з опцыяй "-oHostKeyAlgorithms=-ssh-rsa".
Крыніца: opennet.ru