GitHub teatas teenuse muudatustest, mis on seotud Git-protokolli turvalisuse tugevdamisega, mida kasutatakse git push- ja git pull-operatsioonide ajal SSH või skeemi „git://” kaudu (muudatused ei mõjuta https:// kaudu tehtud päringuid). Kui muudatused jõustuvad, on GitHubiga SSH kaudu ühenduse loomiseks vaja vähemalt OpenSSH versiooni 7.2 (välja antud 2016. aastal) või PuTTY versiooni 0.75 (välja antud selle aasta mais). Näiteks rikutakse ühilduvust CentOS 6 ja Ubuntu 14.04 SSH-kliendiga, mida enam ei toetata.
Muudatused hõlmavad Giti krüptimata kõnede toe eemaldamist ("git://" kaudu) ja suuremaid nõudeid GitHubile juurdepääsul kasutatavatele SSH-võtmetele. GitHub lõpetab kõigi DSA-võtmete ja pärand-SSH-algoritmide (nt CBC-šifrid (aes256-cbc, aes192-cbc aes128-cbc) ja HMAC-SHA-1 toetamise. Lisaks kehtestatakse lisanõuded uutele RSA võtmetele (SHA-1 kasutamine keelatakse) ning juurutatakse ECDSA ja Ed25519 hostvõtmete tugi.
Muudatused viiakse sisse järk-järgult. 14. septembril genereeritakse uued ECDSA ja Ed25519 hostivõtmed. 2. novembril lõpetatakse uute SHA-1-põhiste RSA-võtmete tugi (varem genereeritud võtmed jätkavad tööd). 16. novembril lõpetatakse DSA algoritmil põhinevate hostivõtmete tugi. 11. jaanuaril 2022 katkestatakse ajutiselt katse korras vanemate SSH-algoritmide tugi ja krüptimata juurdepääsu võimalus. 15. märtsil suletakse vanade algoritmide tugi täielikult.
Lisaks võime märkida, et OpenSSH koodibaasis on tehtud vaikimisi muudatus, mis keelab RSA-võtmete töötlemise SHA-1 räsil (“ssh-rsa”). RSA-võtmete tugi koos SHA-256 ja SHA-512 räsidega (rsa-sha2-256/512) jääb muutumatuks. Ssh-rsa võtmete toe peatamine on tingitud antud eesliitega kokkupõrkerünnakute tõhususe suurenemisest (kokkupõrke valimise maksumus on hinnanguliselt umbes 50 tuhat dollarit). Ssh-rsa kasutamise testimiseks oma süsteemides võite proovida luua ühenduse ssh-i kaudu valikuga „-oHostKeyAlgorithms=-ssh-rsa”.
Allikas: opennet.ru