GitHub annoncerede ændringer til tjenesten relateret til at styrke sikkerheden af Git-protokollen, der bruges under git push og git pull operationer via SSH eller "git://" skemaet (anmodninger via https:// vil ikke blive påvirket af ændringerne). Når ændringerne træder i kraft, vil forbindelse til GitHub via SSH kræve mindst OpenSSH version 7.2 (udgivet i 2016) eller PuTTY version 0.75 (udgivet i maj i år). For eksempel vil kompatibilitet med SSH-klienten inkluderet i CentOS 6 og Ubuntu 14.04, som ikke længere understøttes, blive brudt.
Ændringerne omfatter fjernelse af understøttelse af ukrypterede opkald til Git (via "git://") og øgede krav til SSH-nøgler, der bruges, når man får adgang til GitHub. GitHub vil stoppe med at understøtte alle DSA-nøgler og ældre SSH-algoritmer, såsom CBC-cifre (aes256-cbc, aes192-cbc aes128-cbc) og HMAC-SHA-1. Derudover indføres yderligere krav til nye RSA-nøgler (brug af SHA-1 vil være forbudt), og understøttelse af ECDSA og Ed25519 værtsnøgler er ved at blive implementeret.
Ændringer vil blive indført gradvist. Den 14. september vil nye ECDSA og Ed25519 værtsnøgler blive genereret. Den 2. november vil understøttelse af nye SHA-1-baserede RSA-nøgler blive afbrudt (tidligere genererede nøgler vil fortsætte med at virke). Den 16. november ophører understøttelse af værtsnøgler baseret på DSA-algoritmen. Den 11. januar 2022 vil understøttelse af ældre SSH-algoritmer og muligheden for adgang uden kryptering midlertidigt blive afbrudt som et eksperiment. Den 15. marts bliver understøttelse af gamle algoritmer helt deaktiveret.
Derudover kan vi bemærke, at der er foretaget en standardændring i OpenSSH-kodebasen, der deaktiverer behandlingen af RSA-nøgler baseret på SHA-1-hash ("ssh-rsa"). Understøttelse af RSA-nøgler med SHA-256 og SHA-512 hashes (rsa-sha2-256/512) forbliver uændret. Ophøret med at understøtte "ssh-rsa"-nøgler skyldes den øgede effektivitet af kollisionsangreb med et givet præfiks (omkostningerne ved at vælge en kollision er anslået til ca. 50 tusind dollars). For at teste brugen af ssh-rsa på dine systemer, kan du prøve at oprette forbindelse via ssh med "-oHostKeyAlgorithms=-ssh-rsa" muligheden.
Kilde: opennet.ru