GitHub обяви промени в услугата, свързани с укрепване на сигурността на протокола Git, използван по време на операциите git push и git pull чрез SSH или схемата „git://“ (заявките през https:// няма да бъдат засегнати от промените). След като промените влязат в сила, свързването към GitHub чрез SSH ще изисква поне OpenSSH версия 7.2 (издадена през 2016 г.) или PuTTY версия 0.75 (издадена през май тази година). Например, съвместимостта с SSH клиента, включен в CentOS 6 и Ubuntu 14.04, които вече не се поддържат, ще бъде нарушена.
Промените включват премахване на поддръжката за некриптирани повиквания към Git (чрез „git://“) и повишени изисквания за SSH ключове, използвани при достъп до GitHub. GitHub ще спре да поддържа всички DSA ключове и наследени SSH алгоритми като CBC шифри (aes256-cbc, aes192-cbc aes128-cbc) и HMAC-SHA-1. Освен това се въвеждат допълнителни изисквания за нови RSA ключове (използването на SHA-1 ще бъде забранено) и се прилага поддръжка за ECDSA и Ed25519 хост ключове.
Промените ще се въвеждат постепенно. На 14 септември ще бъдат генерирани нови ключове за хост ECDSA и Ed25519. На 2 ноември поддръжката за нови RSA ключове, базирани на SHA-1, ще бъде прекратена (генерираните преди това ключове ще продължат да работят). На 16 ноември поддръжката за ключове на хост, базирани на алгоритъма DSA, ще бъде преустановена. На 11 януари 2022 г. поддръжката за по-стари SSH алгоритми и възможността за достъп без криптиране ще бъдат временно преустановени като експеримент. На 15 март поддръжката за стари алгоритми ще бъде напълно деактивирана.
Освен това можем да отбележим, че е направена промяна по подразбиране в кодовата база на OpenSSH, която деактивира обработката на RSA ключове въз основа на SHA-1 хеш („ssh-rsa“). Поддръжката на RSA ключове с хешове SHA-256 и SHA-512 (rsa-sha2-256/512) остава непроменена. Прекратяването на поддръжката на ключовете „ssh-rsa“ се дължи на повишената ефективност на атаките на сблъсък с даден префикс (цената за избор на сблъсък се оценява на приблизително 50 хиляди долара). За да тествате използването на ssh-rsa на вашите системи, можете да опитате да се свържете чрез ssh с опцията „-oHostKeyAlgorithms=-ssh-rsa“.
Източник: opennet.ru