GitHub анонсировал внесение в сервис изменений, связанных с усилением защиты протокола Git, применяемого в процессе выполнения операций git push и git pull через SSH или схему «git://» (обращения через https:// изменения не коснутся). После начала действия изменений для подключения к GitHub по SSH потребуется как минимум OpenSSH версии 7.2 (выпущен в 2016 году) или PuTTY версии 0.75 (выпущен в мае этого года). Например, будет нарушена совместимость с SSH-клиентом из состава CentOS 6 in Ubuntu 14.04, поддержка которых уже прекращена.
Spremembe vključujejo odstranitev podpore za nešifrirane klice v Git (prek »git://«) in povečane zahteve za ključe SSH, ki se uporabljajo pri dostopu do GitHub. GitHub bo prenehal podpirati vse ključe DSA in podedovane algoritme SSH, kot so šifre CBC (aes256-cbc, aes192-cbc aes128-cbc) in HMAC-SHA-1. Poleg tega se uvajajo dodatne zahteve za nove ključe RSA (uporaba SHA-1 bo prepovedana) in izvaja se podpora za gostiteljske ključe ECDSA in Ed25519.
Spremembe bodo uvajali postopoma. 14. septembra bodo ustvarjeni novi gostiteljski ključi ECDSA in Ed25519. 2. novembra bo podpora za nove ključe RSA, ki temeljijo na SHA-1, ukinjena (prej ustvarjeni ključi bodo še naprej delovali). 16. novembra bo podpora za gostiteljske ključe, ki temeljijo na algoritmu DSA, ukinjena. 11. januarja 2022 bosta podpora za starejše algoritme SSH in možnost dostopa brez šifriranja začasno ukinjena kot poskus. 15. marca bo podpora za stare algoritme popolnoma onemogočena.
Poleg tega lahko opazimo, da je bila narejena privzeta sprememba kodne baze OpenSSH, ki onemogoča obdelavo ključev RSA na podlagi zgoščene vrednosti SHA-1 (»ssh-rsa«). Podpora za ključe RSA z razpršitvami SHA-256 in SHA-512 (rsa-sha2-256/512) ostaja nespremenjena. Prenehanje podpore za ključe “ssh-rsa” je posledica povečane učinkovitosti kolizijskih napadov z dano predpono (strošek izbire trka je ocenjen na približno 50 tisoč dolarjev). Če želite preizkusiti uporabo ssh-rsa v svojih sistemih, se lahko poskusite povezati prek ssh z možnostjo »-oHostKeyAlgorithms=-ssh-rsa«.
Vir: opennet.ru
