GitHub oznámil změny služby související s posílením zabezpečení protokolu Git používaného během operací git push a git pull prostřednictvím SSH nebo schématu „git://“ (požadavky přes https:// nebudou změnami ovlivněny). Jakmile se změny projeví, připojení ke GitHubu přes SSH bude vyžadovat alespoň OpenSSH verze 7.2 (vydaná v roce 2016) nebo PuTTY verze 0.75 (vydaná v květnu tohoto roku). Například bude narušena kompatibilita s klientem SSH obsaženým v CentOS 6 a Ubuntu 14.04, které již nejsou podporovány.
Změny zahrnují odstranění podpory pro nešifrovaná volání do Git (přes „git://“) a zvýšené požadavky na klíče SSH používané při přístupu na GitHub. GitHub přestane podporovat všechny klíče DSA a starší algoritmy SSH, jako jsou šifry CBC (aes256-cbc, aes192-cbc aes128-cbc) a HMAC-SHA-1. Kromě toho se zavádějí další požadavky na nové klíče RSA (použití SHA-1 bude zakázáno) a implementuje se podpora hostitelských klíčů ECDSA a Ed25519.
Změny budou zaváděny postupně. 14. září budou vygenerovány nové hostitelské klíče ECDSA a Ed25519. 2. listopadu bude ukončena podpora nových klíčů RSA založených na SHA-1 (dříve vygenerované klíče budou nadále fungovat). 16. listopadu bude ukončena podpora hostitelských klíčů založených na algoritmu DSA. 11. ledna 2022 bude jako experiment dočasně ukončena podpora starších algoritmů SSH a možnost přístupu bez šifrování. 15. března bude podpora pro staré algoritmy zcela deaktivována.
Kromě toho můžeme poznamenat, že byla provedena výchozí změna v kódové základně OpenSSH, která zakazuje zpracování klíčů RSA na základě hash SHA-1 („ssh-rsa“). Podpora klíčů RSA s hašemi SHA-256 a SHA-512 (rsa-sha2-256/512) zůstává nezměněna. Ukončení podpory klíčů „ssh-rsa“ je způsobeno zvýšenou efektivitou kolizních útoků s daným prefixem (náklady na výběr kolize se odhadují na přibližně 50 tisíc dolarů). Chcete-li otestovat použití ssh-rsa na vašich systémech, můžete se zkusit připojit přes ssh s volbou „-oHostKeyAlgorithms=-ssh-rsa“.
Zdroj: opennet.ru