GitHub ilmoitti palveluun tehdyistä muutoksista, jotka liittyvät git push- ja git pull -toimintojen aikana käytetyn Git-protokollan turvallisuuden vahvistamiseen SSH:n tai "git://"-järjestelmän kautta (muutokset eivät vaikuta https://-pyyntöihin). Kun muutokset tulevat voimaan, GitHubiin yhdistäminen SSH:n kautta edellyttää vähintään OpenSSH-versiota 7.2 (julkaistu vuonna 2016) tai PuTTY-versiota 0.75 (julkaistu tämän vuoden toukokuussa). Esimerkiksi yhteensopivuus CentOS 6:n ja Ubuntu 14.04:n sisältämän SSH-asiakkaan kanssa, joita ei enää tueta, rikkoutuu.
Muutokset sisältävät tuen poistamisen salaamattomille Git-puheluille ("git://":n kautta) ja lisääntyneet vaatimukset GitHubiin käytettäville SSH-avaimille. GitHub lakkaa tukemasta kaikkia DSA-avaimia ja vanhoja SSH-algoritmeja, kuten CBC-salauksia (aes256-cbc, aes192-cbc aes128-cbc) ja HMAC-SHA-1. Lisäksi uusille RSA-avaimille otetaan käyttöön lisävaatimuksia (SHA-1:n käyttö kielletään) ja ECDSA- ja Ed25519-isäntäavaimien tuki otetaan käyttöön.
Muutokset otetaan käyttöön asteittain. Syyskuun 14. päivänä luodaan uudet ECDSA- ja Ed25519-isäntäavaimet. Uusien SHA-2-pohjaisten RSA-avaimien tuki lopetetaan 1. marraskuuta (aiemmin luodut avaimet toimivat edelleen). DSA-algoritmiin perustuvien isäntäavaimien tuki lopetetaan 16. marraskuuta. 11. tammikuuta 2022 tuki vanhemmille SSH-algoritmeille ja mahdollisuus käyttää ilman salausta lopetetaan väliaikaisesti kokeiluksi. Vanhojen algoritmien tuki poistetaan kokonaan käytöstä 15. maaliskuuta.
Lisäksi voimme huomata, että OpenSSH-koodikantaan on tehty oletusmuutos, joka estää RSA-avainten käsittelyn SHA-1-tiivisteen ("ssh-rsa") perusteella. Tuki RSA-avaimille SHA-256- ja SHA-512-tiivisteillä (rsa-sha2-256/512) pysyy ennallaan. "ssh-rsa"-avaimien tuen lopettaminen johtuu törmäyshyökkäysten tehokkuuden lisääntymisestä tietyllä etuliitteellä (törmäyksen valinnan hinnaksi arvioidaan noin 50 tuhatta dollaria). Jos haluat testata ssh-rsa:n käyttöä järjestelmissäsi, voit yrittää muodostaa yhteyden ssh:n kautta "-oHostKeyAlgorithms=-ssh-rsa"-vaihtoehdolla.
Lähde: opennet.ru