GitHub heeft wijzigingen aangekondigd aan de service die verband houden met het versterken van de beveiliging van het Git-protocol dat wordt gebruikt tijdens git push- en git pull-bewerkingen via SSH of het “git://”-schema (verzoeken via https:// worden niet beïnvloed door de wijzigingen). Zodra de wijzigingen van kracht worden, is voor verbinding met GitHub via SSH minimaal OpenSSH versie 7.2 (uitgebracht in 2016) of PuTTY versie 0.75 (uitgebracht in mei van dit jaar) vereist. De compatibiliteit met de SSH-client in CentOS 6 en Ubuntu 14.04, die niet langer wordt ondersteund, zal bijvoorbeeld worden verbroken.
De veranderingen omvatten het verwijderen van ondersteuning voor niet-gecodeerde oproepen naar Git (via “git://”) en verhoogde vereisten voor SSH-sleutels die worden gebruikt bij toegang tot GitHub. GitHub stopt met het ondersteunen van alle DSA-sleutels en oudere SSH-algoritmen zoals CBC-cijfers (aes256-cbc, aes192-cbc, aes128-cbc) en HMAC-SHA-1. Daarnaast worden er aanvullende eisen geïntroduceerd voor nieuwe RSA-sleutels (het gebruik van SHA-1 wordt verboden) en wordt ondersteuning voor ECDSA- en Ed25519-hostsleutels geïmplementeerd.
Veranderingen zullen geleidelijk worden ingevoerd. Op 14 september worden nieuwe ECDSA- en Ed25519-hostsleutels gegenereerd. Op 2 november wordt de ondersteuning voor nieuwe op SHA-1 gebaseerde RSA-sleutels stopgezet (eerder gegenereerde sleutels blijven werken). Op 16 november wordt de ondersteuning voor hostsleutels op basis van het DSA-algoritme stopgezet. Op 11 januari 2022 wordt bij wijze van experiment de ondersteuning voor oudere SSH-algoritmen en de mogelijkheid om toegang te krijgen zonder versleuteling tijdelijk stopgezet. Op 15 maart wordt de ondersteuning voor oude algoritmen volledig uitgeschakeld.
Bovendien kunnen we opmerken dat er een standaardwijziging is aangebracht in de OpenSSH-codebase die de verwerking van RSA-sleutels op basis van de SHA-1-hash (“ssh-rsa”) uitschakelt. Ondersteuning voor RSA-sleutels met SHA-256- en SHA-512-hashes (rsa-sha2-256/512) blijft ongewijzigd. Het stopzetten van de ondersteuning voor “ssh-rsa”-sleutels is te wijten aan de toegenomen efficiëntie van botsingsaanvallen met een bepaald voorvoegsel (de kosten voor het selecteren van een botsing worden geschat op ongeveer 50 dollar). Om het gebruik van ssh-rsa op uw systemen te testen, kunt u proberen verbinding te maken via ssh met de optie “-oHostKeyAlgorithms=-ssh-rsa”.
Bron: opennet.ru