GitHub je najavio promjene usluge koje se odnose na jačanje sigurnosti Git protokola koji se koristi tijekom git push i git pull operacija putem SSH ili sheme “git://” (promjene neće utjecati na zahtjeve putem https://). Nakon što promjene stupe na snagu, povezivanje s GitHubom putem SSH-a zahtijevat će najmanje OpenSSH verziju 7.2 (objavljenu 2016.) ili PuTTY verziju 0.75 (objavljenu u svibnju ove godine). Na primjer, bit će prekinuta kompatibilnost sa SSH klijentom uključenim u CentOS 6 i Ubuntu 14.04, koji više nisu podržani.
Promjene uključuju uklanjanje podrške za nešifrirane pozive Gitu (putem “git://”) i povećane zahtjeve za SSH ključeve koji se koriste prilikom pristupa GitHubu. GitHub će prestati podržavati sve DSA ključeve i naslijeđene SSH algoritme kao što su CBC šifre (aes256-cbc, aes192-cbc aes128-cbc) i HMAC-SHA-1. Osim toga, uvode se dodatni zahtjevi za nove RSA ključeve (upotreba SHA-1 će biti zabranjena) i implementira se podrška za ECDSA i Ed25519 ključeve hosta.
Promjene će se uvoditi postupno. 14. rujna bit će generirani novi ECDSA i Ed25519 ključevi hosta. Dana 2. studenog bit će prekinuta podrška za nove RSA ključeve temeljene na SHA-1 (prethodno generirani ključevi nastavit će raditi). Podrška za ključeve hosta koji se temelje na DSA algoritmu bit će prekinuta 16. studenog. Dana 11. siječnja 2022. podrška za starije SSH algoritme i mogućnost pristupa bez enkripcije privremeno će se ukinuti kao eksperiment. 15. ožujka podrška za stare algoritme bit će potpuno onemogućena.
Dodatno, možemo primijetiti da je napravljena zadana promjena u OpenSSH kodnoj bazi koja onemogućuje obradu RSA ključeva na temelju SHA-1 hash-a ("ssh-rsa"). Podrška za RSA ključeve sa SHA-256 i SHA-512 hashovima (rsa-sha2-256/512) ostaje nepromijenjena. Prestanak podrške za ključeve “ssh-rsa” je zbog povećane učinkovitosti kolizijskih napada s danim prefiksom (trošak odabira kolizije procjenjuje se na oko 50 tisuća dolara). Za testiranje upotrebe ssh-rsa na vašim sustavima, možete se pokušati povezati putem ssh s opcijom “-oHostKeyAlgorithms=-ssh-rsa”.
Izvor: opennet.ru