GitHub mengumumkan perubahan pada layanan terkait penguatan keamanan protokol Git yang digunakan selama operasi git push dan git pull melalui SSH atau skema “git://” (permintaan melalui https:// tidak akan terpengaruh oleh perubahan). Setelah perubahan diterapkan, menghubungkan ke GitHub melalui SSH akan memerlukan setidaknya OpenSSH versi 7.2 (dirilis pada tahun 2016) atau PuTTY versi 0.75 (dirilis pada bulan Mei tahun ini). Misalnya, kompatibilitas dengan klien SSH yang disertakan dalam CentOS 6 dan Ubuntu 14.04, yang tidak lagi didukung, akan rusak.
Perubahan tersebut mencakup penghapusan dukungan untuk panggilan tidak terenkripsi ke Git (melalui “git://”) dan peningkatan persyaratan untuk kunci SSH yang digunakan saat mengakses GitHub. GitHub akan berhenti mendukung semua kunci DSA dan algoritma SSH lama seperti cipher CBC (aes256-cbc, aes192-cbc aes128-cbc) dan HMAC-SHA-1. Selain itu, persyaratan tambahan sedang diperkenalkan untuk kunci RSA baru (penggunaan SHA-1 akan dilarang) dan dukungan untuk kunci host ECDSA dan Ed25519 sedang diterapkan.
Perubahan akan dilakukan secara bertahap. Pada tanggal 14 September, kunci host ECDSA dan Ed25519 baru akan dibuat. Pada tanggal 2 November, dukungan untuk kunci RSA berbasis SHA-1 yang baru akan dihentikan (kunci yang dibuat sebelumnya akan terus berfungsi). Pada tanggal 16 November, dukungan untuk kunci host berdasarkan algoritma DSA akan dihentikan. Pada tanggal 11 Januari 2022, dukungan untuk algoritma SSH lama dan kemampuan untuk mengakses tanpa enkripsi akan dihentikan sementara sebagai percobaan. Pada tanggal 15 Maret, dukungan untuk algoritma lama akan dinonaktifkan sepenuhnya.
Selain itu, kami dapat mencatat bahwa perubahan default telah dilakukan pada basis kode OpenSSH yang menonaktifkan pemrosesan kunci RSA berdasarkan hash SHA-1 (“ssh-rsa”). Dukungan untuk kunci RSA dengan hash SHA-256 dan SHA-512 (rsa-sha2-256/512) tetap tidak berubah. Penghentian dukungan untuk kunci “ssh-rsa” disebabkan oleh peningkatan efisiensi serangan tabrakan dengan awalan tertentu (biaya pemilihan tabrakan diperkirakan sekitar 50 ribu dolar). Untuk menguji penggunaan ssh-rsa di sistem Anda, Anda dapat mencoba menghubungkan melalui ssh dengan opsi “-oHostKeyAlgorithms=-ssh-rsa”.
Sumber: opennet.ru