GitHub anoncis ŝanĝojn al la servo rilate al plifortigo de la sekureco de la Git-protokolo uzata dum git push kaj git pull-operacioj per SSH aŭ la "git://" skemo (petoj per https:// ne estos tuŝitaj de la ŝanĝoj). Post kiam la ŝanĝoj efektiviĝos, konektiĝi al GitHub per SSH postulos almenaŭ OpenSSH-version 7.2 (publikigita en 2016) aŭ PuTTY-versio 0.75 (publikigita en majo ĉi-jare). Ekzemple, kongruo kun la SSH-kliento inkluzivita en CentOS 6 kaj Ubuntu 14.04, kiuj ne plu estas subtenataj, estos rompita.
La ŝanĝoj inkluzivas la forigon de subteno por neĉifritaj alvokoj al Git (per "git://") kaj pliigitaj postuloj por SSH-ŝlosiloj uzataj dum aliro al GitHub. GitHub ĉesos subteni ĉiujn DSA-ŝlosilojn kaj heredajn SSH-algoritmojn kiel ekzemple CBC-ĉifroj (aes256-cbc, aes192-cbc aes128-cbc) kaj HMAC-SHA-1. Krome, aldonaj postuloj estas enkondukitaj por novaj RSA-ŝlosiloj (la uzo de SHA-1 estos malpermesita) kaj subteno por ECDSA kaj Ed25519 gastigaj ŝlosiloj estas efektivigita.
Ŝanĝoj estos enkondukitaj iom post iom. La 14-an de septembro, novaj ECDSA kaj Ed25519 gastigaj ŝlosiloj estos generitaj. La 2-an de novembro, subteno por novaj SHA-1-bazitaj RSA-ŝlosiloj estos ĉesigita (antaŭe generitaj ŝlosiloj daŭre funkcios). La 16-an de novembro, subteno por gastigaj ŝlosiloj bazitaj sur la DSA-algoritmo estos ĉesigita. La 11-an de januaro 2022, subteno por pli malnovaj SSH-algoritmoj kaj la kapablo aliri sen ĉifrado estos provizore ĉesigita kiel eksperimento. La 15-an de marto, subteno por malnovaj algoritmoj estos tute malŝaltita.
Aldone, ni povas noti, ke defaŭlta ŝanĝo estis farita al la OpenSSH-kodbazo, kiu malŝaltas la prilaboradon de RSA-ŝlosiloj bazitaj sur la SHA-1 hash ("ssh-rsa"). Subteno por RSA-ŝlosiloj kun SHA-256 kaj SHA-512 hashes (rsa-sha2-256/512) restas senŝanĝa. La ĉesigo de subteno por "ssh-rsa" ŝlosiloj estas pro la pliigita efikeco de kolizio atakoj kun antaŭfiksita prefikso (la kosto de elekto de kolizio estas taksita je proksimume 50 mil dolaroj). Por testi la uzon de ssh-rsa en viaj sistemoj, vi povas provi konekti per ssh kun la opcio "-oHostKeyAlgorithms=-ssh-rsa".
fonto: opennet.ru