GitHub njoftoi ndryshime në shërbim në lidhje me forcimin e sigurisë së protokollit Git të përdorur gjatë operacioneve git push dhe git pull nëpërmjet SSH ose skemës "git://" (kërkesat përmes https:// nuk do të preken nga ndryshimet). Pasi ndryshimet të hyjnë në fuqi, lidhja me GitHub nëpërmjet SSH do të kërkojë të paktën versionin OpenSSH 7.2 (lëshuar në 2016) ose PuTTY versionin 0.75 (lëshuar në maj të këtij viti). Për shembull, përputhshmëria me klientin SSH të përfshirë në CentOS 6 dhe Ubuntu 14.04, të cilat nuk mbështeten më, do të prishet.
Ndryshimet përfshijnë heqjen e mbështetjes për thirrjet e pakriptuara në Git (nëpërmjet "git://") dhe rritjen e kërkesave për çelësat SSH që përdoren kur hyni në GitHub. GitHub do të ndalojë mbështetjen e të gjithë çelësave DSA dhe algoritmeve të vjetra SSH si shifrat CBC (aes256-cbc, aes192-cbc aes128-cbc) dhe HMAC-SHA-1. Për më tepër, kërkesa shtesë po futen për çelësat e rinj RSA (përdorimi i SHA-1 do të ndalohet) dhe po zbatohet mbështetja për çelësat pritës ECDSA dhe Ed25519.
Ndryshimet do të bëhen gradualisht. Më 14 shtator, do të gjenerohen çelësat e rinj të ECDSA dhe Ed25519. Më 2 nëntor, mbështetja për çelësat e rinj RSA me bazë SHA-1 do të ndërpritet (çelësat e gjeneruar më parë do të vazhdojnë të funksionojnë). Më 16 nëntor, mbështetja për çelësat pritës të bazuar në algoritmin DSA do të ndërpritet. Më 11 janar 2022, mbështetja për algoritmet më të vjetra SSH dhe aftësia për të hyrë pa enkriptim do të ndërpritet përkohësisht si eksperiment. Më 15 mars, mbështetja për algoritmet e vjetra do të çaktivizohet plotësisht.
Për më tepër, mund të vërejmë se një ndryshim i paracaktuar është bërë në bazën e kodit OpenSSH që çaktivizon përpunimin e çelësave RSA bazuar në hash SHA-1 ("ssh-rsa"). Mbështetja për çelësat RSA me hash SHA-256 dhe SHA-512 (rsa-sha2-256/512) mbetet e pandryshuar. Ndërprerja e mbështetjes për çelësat "ssh-rsa" është për shkak të rritjes së efikasitetit të sulmeve të përplasjes me një prefiks të caktuar (kostoja e zgjedhjes së një përplasjeje vlerësohet në afërsisht 50 mijë dollarë). Për të testuar përdorimin e ssh-rsa në sistemet tuaja, mund të provoni të lidheni nëpërmjet ssh me opsionin “-oHostKeyAlgorithms=-ssh-rsa”.
Burimi: opennet.ru