A GitHub változást jelentett be a szolgáltatásban a git push és git pull műveletek során használt Git protokoll biztonságának erősítésével kapcsolatban SSH-n vagy a „git://” sémán keresztül (a https://-en keresztüli kéréseket a változtatások nem érintik). Amint a változtatások életbe lépnek, a GitHubhoz SSH-n keresztül történő csatlakozáshoz legalább az OpenSSH 7.2-es verziójára (2016-ban jelent meg) vagy a PuTTY 0.75-ös verziójára (ez év májusában jelent meg). Például a CentOS 6 és az Ubuntu 14.04, amelyek már nem támogatottak, SSH-ügyféllel való kompatibilitása megszakad.
A változtatások közé tartozik a titkosítatlan Git-hívások támogatásának megszüntetése („git://”), valamint a GitHub elérésekor használt SSH-kulcsokra vonatkozó fokozott követelmények. A GitHub nem támogatja az összes DSA-kulcsot és a régi SSH-algoritmusokat, például a CBC-rejtjeleket (aes256-cbc, aes192-cbc aes128-cbc) és a HMAC-SHA-1-et. Ezenkívül további követelményeket vezetnek be az új RSA-kulcsokra (az SHA-1 használata tilos lesz), és bevezetés alatt áll az ECDSA és az Ed25519 gazdakulcsok támogatása.
A változtatásokat fokozatosan vezetik be. Szeptember 14-én új ECDSA és Ed25519 gazdakulcsok jönnek létre. November 2-án megszűnik az új SHA-1 alapú RSA-kulcsok támogatása (a korábban generált kulcsok továbbra is működni fognak). November 16-án megszűnik a DSA algoritmuson alapuló gazdagép kulcsok támogatása. 11. január 2022-én kísérleti jelleggel átmenetileg megszűnik a régebbi SSH-algoritmusok támogatása és a titkosítás nélküli hozzáférés. Március 15-én teljesen letiltják a régi algoritmusok támogatását.
Ezenkívül megjegyezhetjük, hogy az OpenSSH kódbázisban egy alapértelmezett változtatás történt, amely letiltja az RSA-kulcsok feldolgozását az SHA-1 hash ("ssh-rsa") alapján. Az SHA-256 és SHA-512 hashekkel (rsa-sha2-256/512) rendelkező RSA-kulcsok támogatása változatlan marad. Az „ssh-rsa” kulcsok támogatásának megszűnése az ütközési támadások fokozott hatékonyságának köszönhető egy adott előtaggal (az ütközés kiválasztásának költségét körülbelül 50 ezer dollárra becsülik). Az ssh-rsa használatának teszteléséhez próbáljon meg ssh-n keresztül csatlakozni a „-oHostKeyAlgorithms=-ssh-rsa” opcióval.
Forrás: opennet.ru