GitHub tilkynnti breytingar á þjónustunni sem tengjast því að styrkja öryggi Git samskiptareglunnar sem notuð er við git push og git pull aðgerðir í gegnum SSH eða „git://“ kerfið (beiðnir um https:// verða ekki fyrir áhrifum af breytingunum). Þegar breytingarnar taka gildi mun tenging við GitHub í gegnum SSH krefjast að minnsta kosti OpenSSH útgáfu 7.2 (gefin út 2016) eða PuTTY útgáfu 0.75 (gefin út í maí á þessu ári). Til dæmis mun eindrægni við SSH biðlarann sem fylgir CentOS 6 og Ubuntu 14.04, sem eru ekki lengur studd, vera rofin.
Breytingarnar fela í sér fjarlægingu á stuðningi við ódulkóðuð símtöl til Git (í gegnum „git://“) og auknar kröfur um SSH lykla sem notaðir eru við aðgang að GitHub. GitHub mun hætta að styðja alla DSA lykla og eldri SSH reiknirit eins og CBC dulmál (aes256-cbc, aes192-cbc aes128-cbc) og HMAC-SHA-1. Að auki er verið að innleiða viðbótarkröfur fyrir nýja RSA lykla (notkun SHA-1 verður bönnuð) og verið er að innleiða stuðning við ECDSA og Ed25519 hýsillykla.
Breytingar verða innleiddar smám saman. Þann 14. september verða nýir ECDSA og Ed25519 hýsillyklar búnir til. Þann 2. nóvember verður stuðningur við nýja SHA-1 byggða RSA lykla hætt (áður búnir lyklar munu halda áfram að virka). Þann 16. nóvember verður stuðningur við hýsillykla sem byggjast á DSA reikniritinu hætt. Þann 11. janúar 2022 verður stuðningi við eldri SSH reiknirit og möguleikann á aðgangi án dulkóðunar hætt tímabundið sem tilraun. Þann 15. mars verður stuðningur við gömul reiknirit algjörlega óvirk.
Að auki getum við tekið eftir því að sjálfgefin breyting hefur verið gerð á OpenSSH kóðagrunninum sem gerir vinnslu RSA lykla óvirka byggða á SHA-1 kjötkássa („ssh-rsa“). Stuðningur við RSA lykla með SHA-256 og SHA-512 kjötkássa (rsa-sha2-256/512) helst óbreytt. Stöðvun stuðnings við „ssh-rsa“ lykla er vegna aukinnar skilvirkni árekstrarárása með tilteknu forskeyti (kostnaður við að velja árekstur er áætlaður um það bil 50 þúsund dollarar). Til að prófa notkun ssh-rsa á kerfum þínum geturðu prófað að tengjast í gegnum ssh með „-oHostKeyAlgorithms=-ssh-rsa“ valkostinum.
Heimild: opennet.ru