GitHub mengumumkan perubahan pada perkhidmatan yang berkaitan dengan pengukuhan keselamatan protokol Git yang digunakan semasa operasi git push dan git pull melalui SSH atau skema "git://" (permintaan melalui https:// tidak akan terjejas oleh perubahan). Setelah perubahan berkuat kuasa, menyambung ke GitHub melalui SSH memerlukan sekurang-kurangnya OpenSSH versi 7.2 (dikeluarkan pada 2016) atau PuTTY versi 0.75 (dikeluarkan pada Mei tahun ini). Sebagai contoh, keserasian dengan klien SSH yang disertakan dalam CentOS 6 dan Ubuntu 14.04, yang tidak lagi disokong, akan rosak.
Perubahan itu termasuk penyingkiran sokongan untuk panggilan tidak disulitkan ke Git (melalui "git://") dan peningkatan keperluan untuk kunci SSH yang digunakan semasa mengakses GitHub. GitHub akan berhenti menyokong semua kunci DSA dan algoritma SSH warisan seperti sifir CBC (aes256-cbc, aes192-cbc aes128-cbc) dan HMAC-SHA-1. Selain itu, keperluan tambahan sedang diperkenalkan untuk kunci RSA baharu (penggunaan SHA-1 akan dilarang) dan sokongan untuk kunci hos ECDSA dan Ed25519 sedang dilaksanakan.
Perubahan akan diperkenalkan secara beransur-ansur. Pada 14 September, kunci hos ECDSA dan Ed25519 baharu akan dijana. Pada 2 November, sokongan untuk kunci RSA berasaskan SHA-1 baharu akan dihentikan (kunci yang dijana sebelum ini akan terus berfungsi). Pada 16 November, sokongan untuk kunci hos berdasarkan algoritma DSA akan dihentikan. Pada 11 Januari 2022, sokongan untuk algoritma SSH yang lebih lama dan keupayaan untuk mengakses tanpa penyulitan akan dihentikan buat sementara waktu sebagai percubaan. Pada 15 Mac, sokongan untuk algoritma lama akan dilumpuhkan sepenuhnya.
Selain itu, kita boleh ambil perhatian bahawa perubahan lalai telah dibuat pada pangkalan kod OpenSSH yang melumpuhkan pemprosesan kekunci RSA berdasarkan cincang SHA-1 (βssh-rsaβ). Sokongan untuk kunci RSA dengan cincang SHA-256 dan SHA-512 (rsa-sha2-256/512) kekal tidak berubah. Pemberhentian sokongan untuk kekunci "ssh-rsa" adalah disebabkan oleh peningkatan kecekapan serangan perlanggaran dengan awalan tertentu (kos memilih perlanggaran dianggarkan kira-kira 50 ribu dolar). Untuk menguji penggunaan ssh-rsa pada sistem anda, anda boleh cuba menyambung melalui ssh dengan pilihan β-oHostKeyAlgorithm=-ssh-rsaβ.
Sumber: opennet.ru