ГитХуб је најавио измене услуге које се односе на јачање безбедности Гит протокола који се користи током гит пусх и гит пулл операција преко ССХ-а или „гит://“ шеме (промене неће утицати на захтеве преко хттпс://). Када промене ступе на снагу, за повезивање са ГитХуб-ом преко ССХ-а биће потребна најмање верзија ОпенССХ 7.2 (објављена 2016.) или ПуТТИ верзија 0.75 (објављена у мају ове године). На пример, компатибилност са ССХ клијентом укљученим у ЦентОС 6 и Убунту 14.04, који више нису подржани, биће прекинута.
Промене укључују уклањање подршке за нешифроване позиве Гиту (преко „гит://“) и повећане захтеве за ССХ кључеве који се користе приликом приступа ГитХубу. ГитХуб ће престати да подржава све ДСА кључеве и старе ССХ алгоритме као што су ЦБЦ шифре (аес256-цбц, аес192-цбц аес128-цбц) и ХМАЦ-СХА-1. Поред тога, уводе се додатни захтеви за нове РСА кључеве (употреба СХА-1 ће бити забрањена) и имплементира се подршка за ЕЦДСА и Ед25519 хост кључеве.
Промене ће се уводити постепено. 14. септембра биће генерисани нови кључеви домаћина ЕЦДСА и Ед25519. 2. новембра, подршка за нове РСА кључеве засноване на СХА-1 ће бити укинута (претходно генерисани кључеви ће наставити да раде). 16. новембра, подршка за кључеве домаћина засноване на ДСА алгоритму ће бити укинута. 11. јануара 2022. подршка за старије ССХ алгоритме и могућност приступа без шифровања биће привремено укинута као експеримент. 15. марта подршка за старе алгоритме ће бити потпуно онемогућена.
Поред тога, можемо приметити да је направљена подразумевана промена у ОпенССХ кодној бази која онемогућава обраду РСА кључева на основу СХА-1 хеша („ссх-рса“). Подршка за РСА кључеве са СХА-256 и СХА-512 хешовима (рса-сха2-256/512) остаје непромењена. Престанак подршке за кључеве „ссх-рса“ је због повећане ефикасности напада колизије са датим префиксом (трошак одабира колизије се процењује на приближно 50 хиљада долара). Да бисте тестирали употребу ссх-рса на вашим системима, можете покушати да се повежете преко ссх-а са опцијом „-оХостКеиАлгоритхмс=-ссх-рса“.
Извор: опеннет.ру