GitHub je napovedal spremembe storitve, povezane z okrepitvijo varnosti protokola Git, ki se uporablja med operacijami git push in git pull prek SSH ali sheme »git://« (spremembe ne bodo vplivale na zahteve prek https://). Ko spremembe stopijo v veljavo, bo za povezovanje z GitHub prek SSH potrebna vsaj različica OpenSSH 7.2 (izdana leta 2016) ali PuTTY različica 0.75 (izdana maja letos). Na primer, združljivost z odjemalcem SSH, vključenim v CentOS 6 in Ubuntu 14.04, ki nista več podprta, bo prekinjena.
Spremembe vključujejo odstranitev podpore za nešifrirane klice v Git (prek »git://«) in povečane zahteve za ključe SSH, ki se uporabljajo pri dostopu do GitHub. GitHub bo prenehal podpirati vse ključe DSA in podedovane algoritme SSH, kot so šifre CBC (aes256-cbc, aes192-cbc aes128-cbc) in HMAC-SHA-1. Poleg tega se uvajajo dodatne zahteve za nove ključe RSA (uporaba SHA-1 bo prepovedana) in izvaja se podpora za gostiteljske ključe ECDSA in Ed25519.
Spremembe bodo uvajali postopoma. 14. septembra bodo ustvarjeni novi gostiteljski ključi ECDSA in Ed25519. 2. novembra bo podpora za nove ključe RSA, ki temeljijo na SHA-1, ukinjena (prej ustvarjeni ključi bodo še naprej delovali). 16. novembra bo podpora za gostiteljske ključe, ki temeljijo na algoritmu DSA, ukinjena. 11. januarja 2022 bosta podpora za starejše algoritme SSH in možnost dostopa brez šifriranja začasno ukinjena kot poskus. 15. marca bo podpora za stare algoritme popolnoma onemogočena.
Poleg tega lahko opazimo, da je bila narejena privzeta sprememba kodne baze OpenSSH, ki onemogoča obdelavo ključev RSA na podlagi zgoščene vrednosti SHA-1 (»ssh-rsa«). Podpora za ključe RSA z razpršitvami SHA-256 in SHA-512 (rsa-sha2-256/512) ostaja nespremenjena. Prenehanje podpore za ključe “ssh-rsa” je posledica povečane učinkovitosti kolizijskih napadov z dano predpono (strošek izbire trka je ocenjen na približno 50 tisoč dolarjev). Če želite preizkusiti uporabo ssh-rsa v svojih sistemih, se lahko poskusite povezati prek ssh z možnostjo »-oHostKeyAlgorithms=-ssh-rsa«.
Vir: opennet.ru