GitHub анонсував внесення до сервісу змін, пов'язаних з посиленням захисту протоколу Git, що застосовується в процесі виконання операцій git push і git pull через SSH або схему «git://» (звернення через https:// зміни не торкнуться). Після початку дії змін для підключення до GitHub за SSH буде потрібно щонайменше OpenSSH версії 7.2 (випущений у 2016 році) або PuTTY версії 0.75 (випущений у травні цього року). Наприклад, буде порушена сумісність із SSH-клієнтом зі складу CentOS 6 та Ubuntu 14.04, підтримка яких вже припинена.
Зміни зводяться до припинення підтримки нешифрованих звернень до Git (через «git://») та посилення вимог до SSH-ключів, які використовуються при зверненні до GitHub. GitHub припинить підтримку всіх DSA-ключів та застарілих алгоритмів SSH, таких як шифри CBC (aes256-cbc, aes192-cbc aes128-cbc) та HMAC-SHA-1. Крім того, вводяться додаткові вимоги до нових RSA-ключів (забороняється застосування SHA-1) і реалізується підтримка хостових ключів ECDSA і Ed25519.
Зміни доводитимуться поступово. 14 вересня будуть згенеровані нові хостові ключі ECDSA та Ed25519. 2 листопада буде припинено підтримку нових ключів RSA на базі SHA-1 (раніше згенеровані ключі продовжать роботу). 16 листопада буде припинено підтримку хостових ключів на базі алгоритму DSA. 11 січня 2022 року як експеримент буде тимчасово припинено підтримку старих алгоритмів SSH та можливість звернення без шифрування. 15 березня підтримка старих алгоритмів буде остаточно відключена.
Додатково можна відзначити внесення в кодову базу OpenSSH зміни за замовчуванням відключає обробку RSA-ключів на базі хеша SHA-1 (ssh-rsa). Підтримка RSA-ключів із хешами SHA-256 та SHA-512 (rsa-sha2-256/512) залишена без змін. Припинення підтримки ключів "ssh-rsa" обумовлено підвищенням ефективності колізійних атак із заданим префіксом (вартість підбору колізії оцінюється приблизно в 50 тисяч доларів). Для перевірки застосування ssh-rsa у своїх системах можна спробувати підключитися по ssh з опцією "-oHostKeyAlgorithms=-ssh-rsa".
Джерело: opennet.ru