GitHub a annoncé des modifications du service liées au renforcement de la sécurité du protocole Git utilisé lors des opérations git push et git pull via SSH ou le schéma « git:// » (les requêtes via https:// ne seront pas affectées par les modifications). Une fois les modifications entrées en vigueur, la connexion à GitHub via SSH nécessitera au moins la version OpenSSH 7.2 (publiée en 2016) ou la version 0.75 de PuTTY (publiée en mai de cette année). Par exemple, la compatibilité avec le client SSH inclus dans CentOS 6 et Ubuntu 14.04, qui ne sont plus pris en charge, sera rompue.
Les changements incluent la suppression de la prise en charge des appels non chiffrés vers Git (via « git:// ») et des exigences accrues pour les clés SSH utilisées lors de l'accès à GitHub. GitHub cessera de prendre en charge toutes les clés DSA et les algorithmes SSH existants tels que les chiffrements CBC (aes256-cbc, aes192-cbc, aes128-cbc) et HMAC-SHA-1. De plus, des exigences supplémentaires sont introduites pour les nouvelles clés RSA (l'utilisation de SHA-1 sera interdite) et la prise en charge des clés d'hôte ECDSA et Ed25519 est en cours de mise en œuvre.
Les changements seront introduits progressivement. Le 14 septembre, de nouvelles clés d'hôte ECDSA et Ed25519 seront générées. Le 2 novembre, la prise en charge des nouvelles clés RSA basées sur SHA-1 sera interrompue (les clés générées précédemment continueront de fonctionner). Le 16 novembre, la prise en charge des clés d'hôte basées sur l'algorithme DSA sera interrompue. Le 11 janvier 2022, la prise en charge des anciens algorithmes SSH et la possibilité d'accéder sans cryptage seront temporairement interrompues à titre expérimental. Le 15 mars, la prise en charge des anciens algorithmes sera complètement désactivée.
De plus, nous pouvons noter qu'une modification par défaut a été apportée à la base de code OpenSSH qui désactive le traitement des clés RSA basées sur le hachage SHA-1 (« ssh-rsa »). La prise en charge des clés RSA avec hachages SHA-256 et SHA-512 (rsa-sha2-256/512) reste inchangée. L'arrêt de la prise en charge des clés « ssh-rsa » est dû à l'efficacité accrue des attaques par collision avec un préfixe donné (le coût de sélection d'une collision est estimé à environ 50 XNUMX dollars). Pour tester l'utilisation de ssh-rsa sur vos systèmes, vous pouvez essayer de vous connecter via ssh avec l'option « -oHostKeyAlgorithms=-ssh-rsa ».
Source: opennet.ru