Το GitHub ανακοίνωσε αλλαγές στην υπηρεσία που σχετίζονται με την ενίσχυση της ασφάλειας του πρωτοκόλλου Git που χρησιμοποιείται κατά τις λειτουργίες git push και git pull μέσω SSH ή του σχήματος "git://" (τα αιτήματα μέσω https:// δεν θα επηρεαστούν από τις αλλαγές). Μόλις τεθούν σε ισχύ οι αλλαγές, η σύνδεση στο GitHub μέσω SSH θα απαιτήσει τουλάχιστον την έκδοση OpenSSH 7.2 (κυκλοφόρησε το 2016) ή PuTTY έκδοση 0.75 (κυκλοφόρησε τον Μάιο του τρέχοντος έτους). Για παράδειγμα, η συμβατότητα με τον πελάτη SSH που περιλαμβάνεται στο CentOS 6 και το Ubuntu 14.04, τα οποία δεν υποστηρίζονται πλέον, θα διακοπεί.
Οι αλλαγές περιλαμβάνουν την κατάργηση της υποστήριξης για μη κρυπτογραφημένες κλήσεις στο Git (μέσω «git://») και αυξημένες απαιτήσεις για κλειδιά SSH που χρησιμοποιούνται κατά την πρόσβαση στο GitHub. Το GitHub θα σταματήσει να υποστηρίζει όλα τα κλειδιά DSA και τους αλγόριθμους SSH παλαιού τύπου, όπως κρυπτογράφηση CBC (aes256-cbc, aes192-cbc aes128-cbc) και HMAC-SHA-1. Επιπλέον, εισάγονται πρόσθετες απαιτήσεις για νέα κλειδιά RSA (η χρήση του SHA-1 θα απαγορευτεί) και υλοποιείται υποστήριξη για κλειδιά κεντρικού υπολογιστή ECDSA και Ed25519.
Οι αλλαγές θα γίνουν σταδιακά. Στις 14 Σεπτεμβρίου, θα δημιουργηθούν νέα κλειδιά κεντρικού υπολογιστή ECDSA και Ed25519. Στις 2 Νοεμβρίου, η υποστήριξη για νέα κλειδιά RSA που βασίζονται σε SHA-1 θα διακοπεί (τα κλειδιά που είχαν δημιουργηθεί προηγουμένως θα συνεχίσουν να λειτουργούν). Στις 16 Νοεμβρίου, η υποστήριξη για κλειδιά κεντρικού υπολογιστή που βασίζονται στον αλγόριθμο DSA θα διακοπεί. Στις 11 Ιανουαρίου 2022, η υποστήριξη για παλαιότερους αλγόριθμους SSH και η δυνατότητα πρόσβασης χωρίς κρυπτογράφηση θα διακοπεί προσωρινά ως πείραμα. Στις 15 Μαρτίου, η υποστήριξη για παλιούς αλγόριθμους θα απενεργοποιηθεί πλήρως.
Επιπλέον, μπορούμε να σημειώσουμε ότι έχει γίνει μια προεπιλεγμένη αλλαγή στη βάση κώδικα OpenSSH που απενεργοποιεί την επεξεργασία κλειδιών RSA με βάση τον κατακερματισμό SHA-1 ("ssh-rsa"). Η υποστήριξη για κλειδιά RSA με κατακερματισμούς SHA-256 και SHA-512 (rsa-sha2-256/512) παραμένει αμετάβλητη. Η διακοπή της υποστήριξης των κλειδιών «ssh-rsa» οφείλεται στην αυξημένη αποτελεσματικότητα των επιθέσεων σύγκρουσης με δεδομένο πρόθεμα (το κόστος επιλογής μιας σύγκρουσης εκτιμάται σε περίπου 50 χιλιάδες δολάρια). Για να δοκιμάσετε τη χρήση του ssh-rsa στα συστήματά σας, μπορείτε να δοκιμάσετε να συνδεθείτε μέσω ssh με την επιλογή «-oHostKeyAlgorithms=-ssh-rsa».
Πηγή: opennet.ru