GitHub annonserte endringer i tjenesten knyttet til å styrke sikkerheten til Git-protokollen som brukes under git push og git pull operasjoner via SSH eller "git://" ordningen (forespørsler via https:// vil ikke bli påvirket av endringene). Når endringene trer i kraft, vil tilkobling til GitHub via SSH kreve minst OpenSSH versjon 7.2 (utgitt i 2016) eller PuTTY versjon 0.75 (utgitt i mai i år). For eksempel vil kompatibilitet med SSH-klienten inkludert i CentOS 6 og Ubuntu 14.04, som ikke lenger støttes, bli ødelagt.
Endringene inkluderer fjerning av støtte for ukrypterte anrop til Git (via “git://”) og økte krav til SSH-nøkler som brukes ved tilgang til GitHub. GitHub vil slutte å støtte alle DSA-nøkler og eldre SSH-algoritmer som CBC-chiffer (aes256-cbc, aes192-cbc aes128-cbc) og HMAC-SHA-1. I tillegg introduseres ytterligere krav for nye RSA-nøkler (bruk av SHA-1 vil være forbudt) og støtte for ECDSA og Ed25519 vertsnøkler er under implementering.
Endringer vil bli innført gradvis. 14. september vil nye ECDSA- og Ed25519-vertsnøkler bli generert. 2. november vil støtte for nye SHA-1-baserte RSA-nøkler bli avviklet (tidligere genererte nøkler vil fortsette å fungere). 16. november avvikles støtte for vertsnøkler basert på DSA-algoritmen. 11. januar 2022 vil støtte for eldre SSH-algoritmer og muligheten til å få tilgang uten kryptering bli midlertidig avviklet som et eksperiment. 15. mars blir støtte for gamle algoritmer helt deaktivert.
I tillegg kan vi merke oss at det er gjort en standardendring i OpenSSH-kodebasen som deaktiverer behandlingen av RSA-nøkler basert på SHA-1-hash ("ssh-rsa"). Støtte for RSA-nøkler med SHA-256 og SHA-512 hashes (rsa-sha2-256/512) forblir uendret. Opphør av støtte for "ssh-rsa"-nøkler skyldes økt effektivitet av kollisjonsangrep med et gitt prefiks (kostnaden for å velge en kollisjon er estimert til omtrent 50 tusen dollar). For å teste bruken av ssh-rsa på systemene dine, kan du prøve å koble til via ssh med alternativet "-oHostKeyAlgorithms=-ssh-rsa".
Kilde: opennet.ru