GitHub anunciou cambios no servizo relacionados co reforzo da seguridade do protocolo Git usado durante as operacións de git push e git pull a través de SSH ou o esquema "git://" (as solicitudes a través de https:// non se verán afectadas polos cambios). Unha vez que os cambios entren en vigor, para conectarse a GitHub a través de SSH requirirá polo menos a versión 7.2 de OpenSSH (lanzada en 2016) ou a versión 0.75 de PuTTY (lanzada en maio deste ano). Por exemplo, romperase a compatibilidade co cliente SSH incluído en CentOS 6 e Ubuntu 14.04, que xa non son compatibles.
Os cambios inclúen a eliminación do soporte para as chamadas sen cifrar a Git (a través de "git://") e o aumento dos requisitos para as chaves SSH utilizadas ao acceder a GitHub. GitHub deixará de admitir todas as claves DSA e os algoritmos SSH heredados, como os cifrados CBC (aes256-cbc, aes192-cbc aes128-cbc) e HMAC-SHA-1. Ademais, estanse introducindo requisitos adicionais para novas claves RSA (prohibirase o uso de SHA-1) e estase implementando soporte para chaves de host ECDSA e Ed25519.
Os cambios iranse introducindo gradualmente. O 14 de setembro xeraranse novas claves de host ECDSA e Ed25519. O 2 de novembro deixarase de admitir as novas claves RSA baseadas en SHA-1 (as claves xeradas anteriormente seguirán funcionando). O 16 de novembro deixarase de admitir as claves de host baseadas no algoritmo DSA. O 11 de xaneiro de 2022, a compatibilidade con algoritmos SSH máis antigos e a posibilidade de acceder sen cifrado quedará temporalmente suspendida como experimento. O 15 de marzo, a compatibilidade con algoritmos antigos estará completamente desactivada.
Ademais, podemos observar que se fixo un cambio predeterminado na base de código OpenSSH que desactiva o procesamento das claves RSA baseadas no hash SHA-1 ("ssh-rsa"). A compatibilidade con chaves RSA con hash SHA-256 e SHA-512 (rsa-sha2-256/512) permanece sen cambios. O cese do soporte para as claves "ssh-rsa" débese á maior eficiencia dos ataques de colisión cun prefixo determinado (o custo de seleccionar unha colisión estímase en aproximadamente 50 mil dólares). Para probar o uso de ssh-rsa nos seus sistemas, pode tentar conectarse mediante ssh coa opción "-oHostKeyAlgorithms=-ssh-rsa".
Fonte: opennet.ru