GitHub va anunciar canvis al servei relacionats amb l'enfortiment de la seguretat del protocol Git utilitzat durant les operacions de git push i git pull mitjançant SSH o l'esquema "git://" (les sol·licituds via https:// no es veuran afectades pels canvis). Un cop els canvis tinguin efecte, la connexió a GitHub mitjançant SSH requerirà almenys la versió 7.2 d'OpenSSH (publicada el 2016) o la versió 0.75 de PuTTY (publicada el maig d'aquest any). Per exemple, es trencarà la compatibilitat amb el client SSH inclòs a CentOS 6 i Ubuntu 14.04, que ja no són compatibles.
Els canvis inclouen l'eliminació del suport per a les trucades no xifrades a Git (mitjançant "git://") i l'augment dels requisits per a les claus SSH utilitzades en accedir a GitHub. GitHub deixarà de suportar totes les claus DSA i els algorismes SSH heretats, com ara els xifratges CBC (aes256-cbc, aes192-cbc aes128-cbc) i HMAC-SHA-1. A més, s'estan introduint requisits addicionals per a les noves claus RSA (es prohibirà l'ús de SHA-1) i s'està implementant el suport per a les claus d'amfitrió ECDSA i Ed25519.
Els canvis s'aniran introduint gradualment. El 14 de setembre es generaran noves claus d'amfitrió ECDSA i Ed25519. El 2 de novembre, el suport per a les noves claus RSA basades en SHA-1 deixarà de funcionar (les claus generades anteriorment continuaran funcionant). El 16 de novembre, el suport per a les claus d'amfitrió basat en l'algoritme DSA s'interromprà. L'11 de gener de 2022, la compatibilitat amb algorismes SSH més antics i la possibilitat d'accedir-hi sense xifratge s'interrompran temporalment com a experiment. El 15 de març, el suport per als algorismes antics estarà completament desactivat.
A més, podem observar que s'ha fet un canvi predeterminat a la base de codi OpenSSH que desactiva el processament de les claus RSA basades en el hash SHA-1 ("ssh-rsa"). El suport per a les claus RSA amb hash SHA-256 i SHA-512 (rsa-sha2-256/512) es manté sense canvis. El cessament del suport per a les claus "ssh-rsa" es deu a l'augment de l'eficiència dels atacs de col·lisió amb un prefix determinat (el cost de seleccionar una col·lisió s'estima en aproximadament 50 mil dòlars). Per provar l'ús de ssh-rsa als vostres sistemes, podeu provar de connectar-vos mitjançant ssh amb l'opció "-oHostKeyAlgorithms=-ssh-rsa".
Font: opennet.ru