Ang GitHub ay nag-anunsyo ng mga pagbabago sa serbisyong nauugnay sa pagpapalakas ng seguridad ng Git protocol na ginagamit sa panahon ng git push at git pull operations sa pamamagitan ng SSH o ang βgit://β scheme (ang mga kahilingan sa pamamagitan ng https:// ay hindi maaapektuhan ng mga pagbabago). Sa sandaling magkabisa ang mga pagbabago, ang pagkonekta sa GitHub sa pamamagitan ng SSH ay mangangailangan ng hindi bababa sa OpenSSH na bersyon 7.2 (inilabas noong 2016) o PuTTY na bersyon 0.75 (inilabas noong Mayo ng taong ito). Halimbawa, masisira ang compatibility sa SSH client na kasama sa CentOS 6 at Ubuntu 14.04, na hindi na sinusuportahan.
Kasama sa mga pagbabago ang pag-alis ng suporta para sa mga hindi naka-encrypt na tawag sa Git (sa pamamagitan ng βgit://β) at mas mataas na mga kinakailangan para sa mga SSH key na ginagamit kapag ina-access ang GitHub. Hihinto ang GitHub sa pagsuporta sa lahat ng DSA key at legacy na SSH algorithm gaya ng CBC ciphers (aes256-cbc, aes192-cbc aes128-cbc) at HMAC-SHA-1. Bilang karagdagan, ang mga karagdagang kinakailangan ay ipinakilala para sa mga bagong RSA key (ang paggamit ng SHA-1 ay ipagbabawal) at ang suporta para sa ECDSA at Ed25519 host key ay ipinapatupad.
Ang mga pagbabago ay unti-unting ipakikilala. Sa Setyembre 14, bubuo ng mga bagong ECDSA at Ed25519 host key. Sa Nobyembre 2, ihihinto ang suporta para sa mga bagong RSA key na nakabatay sa SHA-1 (magpapatuloy na gagana ang mga dati nang nabuong key). Sa Nobyembre 16, ihihinto ang suporta para sa mga host key batay sa algorithm ng DSA. Sa Enero 11, 2022, pansamantalang ihihinto ang suporta para sa mga mas lumang SSH algorithm at ang kakayahang mag-access nang walang pag-encrypt bilang isang eksperimento. Sa Marso 15, ganap na idi-disable ang suporta para sa mga lumang algorithm.
Bilang karagdagan, maaari naming tandaan na ang isang default na pagbabago ay ginawa sa OpenSSH codebase na hindi pinapagana ang pagproseso ng mga RSA key batay sa SHA-1 hash ("ssh-rsa"). Ang suporta para sa mga RSA key na may SHA-256 at SHA-512 na mga hash (rsa-sha2-256/512) ay nananatiling hindi nagbabago. Ang pagtigil ng suporta para sa "ssh-rsa" na mga key ay dahil sa tumaas na kahusayan ng mga pag-atake ng banggaan na may isang naibigay na prefix (ang halaga ng pagpili ng isang banggaan ay tinatantya sa humigit-kumulang 50 libong dolyar). Upang subukan ang paggamit ng ssh-rsa sa iyong mga system, maaari mong subukang kumonekta sa pamamagitan ng ssh gamit ang opsyong β-oHostKeyAlgorithms=-ssh-rsaβ.
Pinagmulan: opennet.ru