Alguns dias atrás GitHub anunciou uma série de mudanças para o serviço relacionado ao endurecimento do protocolo Git, que é usado durante as operações git push e git pull via SSH ou o esquema "git: //".
É mencionado que solicitações via https: // não serão afetadas e assim que as mudanças entrarem em vigor, pelo menos a versão 7.2 do OpenSSH será necessária (lançado em 2016) ou versão 0.75 de PuTTY (lançado em maio deste ano) para se conectar ao GitHub via SSH.
Por exemplo, o suporte para o cliente SSH do CentOS 6 e Ubuntu 14.04, que já foi descontinuado, será interrompido.
Olá da Git Systems, a equipe do GitHub que garante que seu código-fonte esteja disponível e seguro. Estamos fazendo algumas alterações para melhorar a segurança do protocolo ao inserir ou extrair dados do Git. Esperamos que muito poucas pessoas percebam essas mudanças, já que as estamos implementando da forma mais tranquila possível, mas ainda queremos avisar com bastante antecedência.
Basicamente, é mencionado que as mudanças se resumem a descontinuar o suporte para chamadas Git não criptografadas através de "git: //" e ajustar os requisitos para as chaves SSH utilizadas no acesso ao GitHub, isso para melhorar a segurança das conexões feitas pelos usuários, uma vez que GitHub menciona que a forma como estava sendo realizado já está obsoleta e inseguro.
O GitHub não oferecerá mais suporte a todas as chaves DSA e algoritmos SSH legados, como cifras CBC (aes256-cbc, aes192-cbc aes128-cbc) e HMAC-SHA-1. Além disso, foram introduzidos requisitos adicionais para novas chaves RSA (a assinatura SHA-1 será proibida) e o suporte para chaves de host ECDSA e Ed25519 foi implementado.
O que está mudando?
Estamos mudando quais chaves são compatíveis com SSH e removendo o protocolo Git não criptografado. Especificamente, nós somos:Removendo o suporte para todas as chaves DSA
Adicionando requisitos para chaves RSA recém-adicionadas
Remoção de alguns algoritmos SSH legados (cifras HMAC-SHA-1 e CBC)
Adicionar chaves de host ECDSA e Ed25519 para SSH
Desativar protocolo Git não criptografado
Apenas usuários que se conectam via SSH ou git: // são afetados. Se seus controles remotos Git começarem com https: //, nada nesta postagem irá afetá-lo. Se você for um usuário SSH, leia os detalhes e a programação.Recentemente, paramos de oferecer suporte a senhas HTTPS. Essas alterações de SSH, embora tecnicamente não relacionadas, são parte da mesma unidade para manter os dados do cliente GitHub o mais seguros possível.
As mudanças serão feitas gradualmente e as novas chaves de host ECDSA e Ed25519 serão geradas em 14 de setembro. O suporte para assinatura de chave RSA usando hash SHA-1 será descontinuado em 2 de novembro (as chaves geradas anteriormente continuarão funcionando).
Em 16 de novembro, o suporte para chaves de host baseadas em DSA será descontinuado. Em 11 de janeiro de 2022, como um experimento, o suporte para algoritmos SSH mais antigos e a capacidade de acesso sem criptografia serão temporariamente suspensos. Em 15 de março, o suporte para algoritmos legados será desativado permanentemente.
Além disso, é mencionado que deve ser observado que a base de código OpenSSH foi modificada por padrão para desabilitar a assinatura de chave RSA usando o hash SHA-1 ("ssh-rsa").
O suporte para assinaturas hash SHA-256 e SHA-512 (rsa-sha2-256 / 512) permanece o mesmo. O fim do suporte para assinaturas "ssh-rsa" se deve a um aumento na eficácia dos ataques de colisão com um determinado prefixo (o custo de adivinhar a colisão é estimado em cerca de US $ 50).
Para testar o uso de ssh-rsa em seus sistemas, você pode tentar se conectar via ssh com a opção "-oHostKeyAlgorithms = -ssh-rsa".
finalmente simSe você estiver interessado em saber mais sobre isso sobre as mudanças que o GitHub está fazendo, você pode verificar os detalhes no link a seguir.