GitHub oznámil zmeny v službe súvisiace s posilnením bezpečnosti protokolu Git používaného počas operácií git push a git pull prostredníctvom SSH alebo schémy „git://“ (žiadosti cez https:// zmeny nebudú ovplyvnené). Akonáhle zmeny nadobudnú účinnosť, pripojenie na GitHub cez SSH bude vyžadovať aspoň OpenSSH verzie 7.2 (vydané v roku 2016) alebo PuTTY verzie 0.75 (vydané v máji tohto roku). Napríklad bude narušená kompatibilita s klientom SSH zahrnutým v CentOS 6 a Ubuntu 14.04, ktoré už nie sú podporované.
Zmeny zahŕňajú odstránenie podpory pre nešifrované volania do Git (cez „git://“) a zvýšené požiadavky na kľúče SSH používané pri prístupe na GitHub. GitHub prestane podporovať všetky kľúče DSA a staršie algoritmy SSH, ako sú šifry CBC (aes256-cbc, aes192-cbc aes128-cbc) a HMAC-SHA-1. Okrem toho sa zavádzajú ďalšie požiadavky na nové kľúče RSA (používanie SHA-1 bude zakázané) a implementuje sa podpora pre hostiteľské kľúče ECDSA a Ed25519.
Zmeny sa budú zavádzať postupne. 14. septembra sa vygenerujú nové hostiteľské kľúče ECDSA a Ed25519. 2. novembra bude ukončená podpora nových kľúčov RSA založených na SHA-1 (predtým vygenerované kľúče budú naďalej fungovať). 16. novembra bude ukončená podpora pre hostiteľské kľúče založené na algoritme DSA. 11. januára 2022 bude v rámci experimentu dočasne ukončená podpora starších algoritmov SSH a možnosť prístupu bez šifrovania. 15. marca bude podpora pre staré algoritmy úplne deaktivovaná.
Okrem toho môžeme poznamenať, že v kódovej základni OpenSSH bola vykonaná predvolená zmena, ktorá zakazuje spracovanie kľúčov RSA na základe hash SHA-1 („ssh-rsa“). Podpora kľúčov RSA s hashmi SHA-256 a SHA-512 (rsa-sha2-256/512) zostáva nezmenená. Zastavenie podpory kľúčov „ssh-rsa“ je spôsobené zvýšenou efektivitou kolíznych útokov s daným prefixom (náklady na výber kolízie sa odhadujú na približne 50 tisíc dolárov). Ak chcete otestovať použitie ssh-rsa vo vašich systémoch, môžete sa pokúsiť pripojiť cez ssh s voľbou „-oHostKeyAlgorithms=-ssh-rsa“.
Zdroj: opennet.ru