O GitHub anunciou mudanças no serviço relacionadas ao fortalecimento da segurança do protocolo Git usado durante operações git push e git pull via SSH ou esquema “git://” (solicitações via https:// não serão afetadas pelas mudanças). Assim que as alterações entrarem em vigor, a conexão ao GitHub via SSH exigirá pelo menos OpenSSH versão 7.2 (lançado em 2016) ou PuTTY versão 0.75 (lançado em maio deste ano). Por exemplo, a compatibilidade com o cliente SSH incluído no CentOS 6 e no Ubuntu 14.04, que não são mais suportados, será quebrada.
As mudanças incluem a remoção do suporte para chamadas não criptografadas para Git (via “git://”) e maiores requisitos para chaves SSH usadas ao acessar o GitHub. O GitHub deixará de oferecer suporte a todas as chaves DSA e algoritmos SSH legados, como cifras CBC (aes256-cbc, aes192-cbc aes128-cbc) e HMAC-SHA-1. Além disso, estão sendo introduzidos requisitos adicionais para novas chaves RSA (o uso de SHA-1 será proibido) e o suporte para chaves de host ECDSA e Ed25519 está sendo implementado.
As alterações serão introduzidas gradualmente. No dia 14 de setembro, serão geradas novas chaves de host ECDSA e Ed25519. Em 2 de novembro, o suporte para novas chaves RSA baseadas em SHA-1 será descontinuado (as chaves geradas anteriormente continuarão funcionando). Em 16 de novembro, o suporte para chaves de host baseadas no algoritmo DSA será descontinuado. Em 11 de janeiro de 2022, o suporte para algoritmos SSH mais antigos e a capacidade de acesso sem criptografia serão temporariamente descontinuados como experiência. No dia 15 de março, o suporte a algoritmos antigos será completamente desativado.
Além disso, podemos observar que foi feita uma alteração padrão na base de código OpenSSH que desativa o processamento de chaves RSA com base no hash SHA-1 (“ssh-rsa”). O suporte para chaves RSA com hashes SHA-256 e SHA-512 (rsa-sha2-256/512) permanece inalterado. A cessação do suporte a chaves “ssh-rsa” se deve ao aumento da eficiência dos ataques de colisão com um determinado prefixo (o custo de seleção de uma colisão é estimado em aproximadamente 50 mil dólares). Para testar o uso de ssh-rsa em seus sistemas, você pode tentar conectar via ssh com a opção “-oHostKeyAlgorithms=-ssh-rsa”.
Fonte: opennet.ru