GitHub anunció cambios en el servicio relacionados con el fortalecimiento de la seguridad del protocolo Git utilizado durante las operaciones git push y git pull a través de SSH o el esquema “git://” (las solicitudes a través de https:// no se verán afectadas por los cambios). Una vez que los cambios entren en vigor, conectarse a GitHub a través de SSH requerirá al menos la versión 7.2 de OpenSSH (lanzada en 2016) o la versión 0.75 de PuTTY (lanzada en mayo de este año). Por ejemplo, se romperá la compatibilidad con el cliente SSH incluido en CentOS 6 y Ubuntu 14.04, que ya no son compatibles.
Los cambios incluyen la eliminación de la compatibilidad con llamadas no cifradas a Git (a través de “git://”) y mayores requisitos para las claves SSH utilizadas al acceder a GitHub. GitHub dejará de admitir todas las claves DSA y algoritmos SSH heredados, como los cifrados CBC (aes256-cbc, aes192-cbc, aes128-cbc) y HMAC-SHA-1. Además, se están introduciendo requisitos adicionales para las nuevas claves RSA (se prohibirá el uso de SHA-1) y se está implementando soporte para claves de host ECDSA y Ed25519.
Los cambios se introducirán gradualmente. El 14 de septiembre se generarán nuevas claves de host ECDSA y Ed25519. El 2 de noviembre, se suspenderá la compatibilidad con las nuevas claves RSA basadas en SHA-1 (las claves generadas anteriormente seguirán funcionando). El 16 de noviembre, se suspenderá la compatibilidad con claves de host basadas en el algoritmo DSA. El 11 de enero de 2022, se suspenderá temporalmente como experimento la compatibilidad con algoritmos SSH más antiguos y la capacidad de acceder sin cifrado. El 15 de marzo, la compatibilidad con algoritmos antiguos quedará completamente deshabilitada.
Además, podemos observar que se ha realizado un cambio predeterminado en el código base de OpenSSH que deshabilita el procesamiento de claves RSA basadas en el hash SHA-1 (“ssh-rsa”). La compatibilidad con claves RSA con hashes SHA-256 y SHA-512 (rsa-sha2-256/512) permanece sin cambios. El cese del soporte para las claves “ssh-rsa” se debe a la mayor eficiencia de los ataques de colisión con un prefijo determinado (el costo de seleccionar una colisión se estima en aproximadamente 50 mil dólares). Para probar el uso de ssh-rsa en sus sistemas, puede intentar conectarse vía ssh con la opción “-oHostKeyAlgorithms=-ssh-rsa”.
Fuente: opennet.ru