GitHub, SSH veya “git://” şeması aracılığıyla git push ve git pull işlemleri sırasında kullanılan Git protokolünün güvenliğinin güçlendirilmesine ilişkin hizmette yapılan değişiklikleri duyurdu (https:// üzerinden yapılan istekler değişikliklerden etkilenmeyecektir). Değişiklikler yürürlüğe girdikten sonra GitHub'a SSH aracılığıyla bağlanmak için en az OpenSSH sürüm 7.2 (2016'da yayınlandı) veya PuTTY sürüm 0.75 (bu yılın Mayıs ayında yayınlandı) gerekecek. Örneğin artık desteklenmeyen CentOS 6 ve Ubuntu 14.04'te bulunan SSH istemcisiyle uyumluluk bozulacaktır.
Değişiklikler arasında Git'e ("git://" üzerinden) yapılan şifrelenmemiş çağrılara yönelik desteğin kaldırılması ve GitHub'a erişirken kullanılan SSH anahtarlarına yönelik gereksinimlerin artırılması yer alıyor. GitHub, tüm DSA anahtarlarını ve CBC şifreleri (aes256-cbc, aes192-cbc aes128-cbc) ve HMAC-SHA-1 gibi eski SSH algoritmalarını desteklemeyi bırakacak. Ayrıca, yeni RSA anahtarları için ek gereksinimler getiriliyor (SHA-1 kullanımı yasaklanacak) ve ECDSA ve Ed25519 ana bilgisayar anahtarları için destek uygulanıyor.
Değişiklikler kademeli olarak uygulamaya konulacaktır. 14 Eylül'de yeni ECDSA ve Ed25519 ana bilgisayar anahtarları oluşturulacak. 2 Kasım'da yeni SHA-1 tabanlı RSA anahtarlarına yönelik destek sonlandırılacak (önceden oluşturulan anahtarlar çalışmaya devam edecek). 16 Kasım'da DSA algoritmasını temel alan ana bilgisayar anahtarlarına yönelik destek sonlandırılacak. 11 Ocak 2022'de, eski SSH algoritmalarına verilen destek ve şifreleme olmadan erişim olanağı, deneme amaçlı olarak geçici olarak durdurulacaktır. 15 Mart'ta eski algoritmalara yönelik destek tamamen devre dışı bırakılacak.
Ek olarak, OpenSSH kod tabanında, SHA-1 hash'ına (“ssh-rsa”) dayalı RSA anahtarlarının işlenmesini devre dışı bırakan varsayılan bir değişiklik yapıldığını da belirtebiliriz. SHA-256 ve SHA-512 karmalarına (rsa-sha2-256/512) sahip RSA anahtarları desteği değişmeden kalır. "Ssh-rsa" anahtarlarına yönelik desteğin sona ermesi, belirli bir önekle çarpışma saldırılarının artan verimliliğinden kaynaklanmaktadır (bir çarpışma seçmenin maliyetinin yaklaşık 50 bin dolar olduğu tahmin edilmektedir). Sistemlerinizde ssh-rsa kullanımını test etmek için “-oHostKeyAlgorithms=-ssh-rsa” seçeneği ile ssh üzerinden bağlanmayı deneyebilirsiniz.
Kaynak: opennet.ru