GitHub ha annunciato modifiche al servizio legate al rafforzamento della sicurezza del protocollo Git utilizzato durante le operazioni git push e git pull tramite SSH o lo schema “git://” (le richieste tramite https:// non saranno interessate dalle modifiche). Una volta che le modifiche avranno effetto, la connessione a GitHub tramite SSH richiederà almeno OpenSSH versione 7.2 (rilasciata nel 2016) o PuTTY versione 0.75 (rilasciata a maggio di quest'anno). Ad esempio, la compatibilità con il client SSH incluso in CentOS 6 e Ubuntu 14.04, che non sono più supportati, verrà interrotta.
Le modifiche includono la rimozione del supporto per le chiamate non crittografate a Git (tramite “git://”) e maggiori requisiti per le chiavi SSH utilizzate quando si accede a GitHub. GitHub smetterà di supportare tutte le chiavi DSA e gli algoritmi SSH legacy come i cifrari CBC (aes256-cbc, aes192-cbc, aes128-cbc) e HMAC-SHA-1. Inoltre, vengono introdotti requisiti aggiuntivi per le nuove chiavi RSA (l'uso di SHA-1 sarà vietato) e viene implementato il supporto per le chiavi host ECDSA e Ed25519.
Le modifiche verranno introdotte gradualmente. Il 14 settembre verranno generate le nuove chiavi host ECDSA ed Ed25519. Il 2 novembre, il supporto per le nuove chiavi RSA basate su SHA-1 verrà interrotto (le chiavi generate in precedenza continueranno a funzionare). Il 16 novembre verrà interrotto il supporto per le chiavi host basate sull'algoritmo DSA. L'11 gennaio 2022 il supporto per gli algoritmi SSH meno recenti e la possibilità di accesso senza crittografia verranno temporaneamente sospesi a titolo sperimentale. Dal 15 marzo il supporto ai vecchi algoritmi verrà completamente disabilitato.
Inoltre, possiamo notare che è stata apportata una modifica predefinita al codebase OpenSSH che disabilita l'elaborazione delle chiavi RSA basate sull'hash SHA-1 ("ssh-rsa"). Il supporto per le chiavi RSA con hash SHA-256 e SHA-512 (rsa-sha2-256/512) rimane invariato. La cessazione del supporto per le chiavi “ssh-rsa” è dovuta alla maggiore efficienza degli attacchi di collisione con un determinato prefisso (il costo per selezionare una collisione è stimato in circa 50mila dollari). Per testare l'utilizzo di ssh-rsa sui vostri sistemi, potete provare a connettervi via ssh con l'opzione “-oHostKeyAlgorithms=-ssh-rsa”.
Fonte: opennet.ru