GitHub објави промени во услугата поврзани со зајакнување на безбедноста на протоколот Git што се користи за време на операциите на git push и git pull преку SSH или шемата „git://“ (барањата преку https:// нема да бидат засегнати од промените). Откако ќе стапат на сила промените, за поврзување со GitHub преку SSH ќе биде потребна најмалку OpenSSH верзија 7.2 (објавена во 2016 година) или PuTTY верзија 0.75 (објавена во мај оваа година). На пример, компатибилноста со клиентот SSH вклучен во CentOS 6 и Ubuntu 14.04, кои повеќе не се поддржани, ќе биде прекината.
Промените вклучуваат отстранување на поддршката за нешифрирани повици до Git (преку „git://“) и зголемени барања за SSH клучеви што се користат при пристап до GitHub. GitHub ќе престане да ги поддржува сите DSA клучеви и наследените SSH алгоритми како што се CBC шифрите (aes256-cbc, aes192-cbc aes128-cbc) и HMAC-SHA-1. Дополнително, се воведуваат дополнителни барања за новите RSA клучеви (употребата на SHA-1 ќе биде забранета) и се спроведува поддршка за ECDSA и Ed25519 клучеви за домаќини.
Промените ќе се воведуваат постепено. На 14 септември ќе се генерираат нови клучеви за домаќини ECDSA и Ed25519. На 2 ноември, поддршката за новите клучеви RSA базирани на SHA-1 ќе биде прекината (претходно генерираните клучеви ќе продолжат да работат). На 16 ноември, поддршката за клучеви за домаќини базирани на алгоритмот DSA ќе биде прекината. На 11 јануари 2022 година, поддршката за постари SSH алгоритми и можноста за пристап без шифрирање привремено ќе бидат прекинати како експеримент. На 15 март, поддршката за старите алгоритми ќе биде целосно оневозможена.
Дополнително, можеме да забележиме дека е направена стандардна промена во базата на кодови OpenSSH што ја оневозможува обработката на клучевите RSA врз основа на хашот SHA-1 („ssh-rsa“). Поддршката за RSA клучеви со хашови SHA-256 и SHA-512 (rsa-sha2-256/512) останува непроменета. Престанокот на поддршката за клучевите „ssh-rsa“ се должи на зголемената ефикасност на нападите од судир со даден префикс (трошокот за избор на судир се проценува на приближно 50 илјади долари). За да ја тестирате употребата на ssh-rsa на вашите системи, можете да се обидете да се поврзете преку ssh со опцијата „-oHostKeyAlgorithms=-ssh-rsa“.
Извор: opennet.ru