GitHub tillkännagav ändringar av tjänsten relaterade till att stärka säkerheten för Git-protokollet som används under git push och git pull-operationer via SSH eller "git://"-schemat (förfrågningar via https:// kommer inte att påverkas av ändringarna). När ändringarna träder i kraft kommer att ansluta till GitHub via SSH att kräva minst OpenSSH version 7.2 (släppt 2016) eller PuTTY version 0.75 (släppt i maj i år). Till exempel kommer kompatibiliteten med SSH-klienten som ingår i CentOS 6 och Ubuntu 14.04, som inte längre stöds, att brytas.
Ändringarna inkluderar borttagning av stöd för okrypterade anrop till Git (via “git://”) och ökade krav på SSH-nycklar som används vid åtkomst till GitHub. GitHub kommer att sluta stödja alla DSA-nycklar och äldre SSH-algoritmer som CBC-chiffer (aes256-cbc, aes192-cbc aes128-cbc) och HMAC-SHA-1. Dessutom införs ytterligare krav för nya RSA-nycklar (användning av SHA-1 kommer att vara förbjuden) och stöd för ECDSA och Ed25519 värdnycklar implementeras.
Förändringar kommer att införas successivt. Den 14 september kommer nya ECDSA- och Ed25519-värdnycklar att genereras. Den 2 november kommer stödet för nya SHA-1-baserade RSA-nycklar att upphöra (tidigare genererade nycklar kommer att fortsätta att fungera). Den 16 november upphör stödet för värdnycklar baserade på DSA-algoritmen. Den 11 januari 2022 kommer stödet för äldre SSH-algoritmer och möjligheten att komma åt utan kryptering tillfälligt upphöra som ett experiment. Den 15 mars kommer stödet för gamla algoritmer att stängas av helt.
Dessutom kan vi notera att en standardändring har gjorts i OpenSSH-kodbasen som inaktiverar behandlingen av RSA-nycklar baserat på SHA-1-hash ("ssh-rsa"). Stödet för RSA-nycklar med SHA-256 och SHA-512 hash (rsa-sha2-256/512) förblir oförändrat. Upphörandet av stöd för "ssh-rsa"-nycklar beror på den ökade effektiviteten av kollisionsattacker med ett givet prefix (kostnaden för att välja en kollision uppskattas till cirka 50 tusen dollar). För att testa användningen av ssh-rsa på dina system kan du försöka ansluta via ssh med alternativet "-oHostKeyAlgorithms=-ssh-rsa".
Källa: opennet.ru