GitHub a anunțat modificări ale serviciului legate de consolidarea securității protocolului Git utilizat în timpul operațiunilor git push și git pull prin SSH sau schema „git://” (cererile prin https:// nu vor fi afectate de modificări). Odată ce modificările intră în vigoare, conectarea la GitHub prin SSH va necesita cel puțin versiunea OpenSSH 7.2 (lansată în 2016) sau versiunea PuTTY 0.75 (lansată în luna mai a acestui an). De exemplu, compatibilitatea cu clientul SSH inclus în CentOS 6 și Ubuntu 14.04, care nu mai sunt acceptate, va fi întreruptă.
Modificările includ eliminarea suportului pentru apelurile necriptate către Git (prin „git://”) și cerințe crescute pentru cheile SSH utilizate la accesarea GitHub. GitHub va înceta să accepte toate cheile DSA și algoritmii SSH vechi, cum ar fi cifrurile CBC (aes256-cbc, aes192-cbc aes128-cbc) și HMAC-SHA-1. În plus, sunt introduse cerințe suplimentare pentru noile chei RSA (utilizarea SHA-1 va fi interzisă) și este implementat suportul pentru cheile gazdă ECDSA și Ed25519.
Modificările vor fi introduse treptat. Pe 14 septembrie vor fi generate noi chei gazdă ECDSA și Ed25519. Pe 2 noiembrie, suportul pentru noile chei RSA bazate pe SHA-1 va fi întrerupt (cheile generate anterior vor continua să funcționeze). Pe 16 noiembrie, suportul pentru cheile gazdă bazate pe algoritmul DSA va fi întrerupt. Pe 11 ianuarie 2022, suportul pentru algoritmi SSH mai vechi și capacitatea de a accesa fără criptare vor fi întrerupte temporar ca experiment. Pe 15 martie, suportul pentru algoritmi vechi va fi complet dezactivat.
În plus, putem observa că a fost făcută o modificare implicită la baza de cod OpenSSH care dezactivează procesarea cheilor RSA pe baza hash-ului SHA-1 ("ssh-rsa"). Suportul pentru cheile RSA cu hash-uri SHA-256 și SHA-512 (rsa-sha2-256/512) rămâne neschimbat. Încetarea suportului pentru cheile „ssh-rsa” se datorează eficienței crescute a atacurilor de coliziune cu un prefix dat (costul de selectare a unei coliziuni este estimat la aproximativ 50 de mii de dolari). Pentru a testa utilizarea ssh-rsa pe sistemele dvs., puteți încerca să vă conectați prin ssh cu opțiunea „-oHostKeyAlgorithms=-ssh-rsa”.
Sursa: opennet.ru