Con un fuerte enfoque en tener los datos del cliente lo más seguros posible, GitHub ha decidido eliminar la compatibilidad con el protocolo Git sin cifrar, las claves DSA y algunos algoritmos SSH heredados. Además, está agregando requisitos para las claves RSA recién agregadas y brinda soporte para las claves de host SSH ECDSA y Ed25519. Estos cambios pueden afectar solo a los usuarios de SSH y “git: //”, mientras que los usuarios de “https: //” no se verán afectados. Sin embargo, a partir de mediados de septiembre de 2021 hasta mediados de marzo de 2022, GitHub eliminará gradualmente la tecnología menos segura para dejar espacio para otras más seguras.
Tras la reciente eliminación del soporte para contraseñas a través de HTTPS, que era parte del impulso de GitHub para mantener los datos de los clientes lo más seguros posible, decidieron dejar de usar tipos de claves antiguos. Como las claves DSA ofrecen solo un nivel de seguridad de 80 bits bajo el estándar actual de 128 bits, y como solo menos del 0.3% de las solicitudes de GitHub se realizan utilizando estas solicitudes, creen que su rechazo en conjunto aumentará la seguridad con poco fricción del usuario. Como siguiente paso, se espera que también se elimine la compatibilidad con las claves de host DSA.
Aunque las claves RSA son más fuertes que las claves DSA, algunos clientes de Git más antiguos pueden usarlas en combinación con un algoritmo de firma obsoleto que usa SHA-1. Como muchos clientes SSH, que también comienzan desde OpenSSH 7.2 admiten firmas RSA y SHA-2, se eliminará el soporte para firmas SHA-1, reforzando SHA-2. Las claves que tengan una validez posterior antes de la fecha límite (2 de noviembre de 2021) pueden continuar usando firmas SHA-1 por el momento.
El servicio SSH dejará de admitir algoritmos inseguros como hmac-sha1 y cifrados CBC (aes256-cbc, aes192-cbc y aes128-cbc). Los ataques a los cifrados CBC son muy fáciles de realizar y la empresa considera que en base a sus datos existen mejores algoritmos de cifrado y MAC.
Como el git: // sin cifrar no ofrece integridad ni autenticación, puede estar expuesto a interferencias. Como hay un número limitado de usuarios que todavía lo usan, probablemente debido al hecho de que está expuesto solo en forma de solo lectura (es decir, no puede insertar código) en GitHub, su soporte también se eliminará.
GitHub no solo elimina el soporte para estándares antiguos, sino que también agrega soporte para nuevas claves de host: ECDSA y Ed25519 son estándares más nuevos basados en criptografía de curva elíptica, y serán compatibles y ofrecen buenas características de seguridad para tamaños y cálculos limitados. aumenta. A corto plazo, se enviarán utilizando la extensión UpdateHostKeys de OpenSSH, que utiliza una técnica segura para demostrar que GitHub posee las nuevas claves que propone.
Continuando con su camino de tratar de mantener los datos de GitHub lo más seguros posible, el equipo de Git Systems de GitHub decidió eliminar la compatibilidad con claves y algoritmos antiguos y no seguros, generalmente conocidos como objetivos potenciales de ataques. Estos cambios se producen después de la reciente eliminación del soporte para contraseñas a través de https, todo con el beneficio de mantenerse a la vanguardia en lo que respecta a la seguridad. Para mantener a los usuarios afectados al mínimo, la compañía se aseguró de que solo un pequeño porcentaje de usuarios se vean afectados y proporcionó un plan de hitos claro, junto con una guía sobre cómo asegurarse de que los cambios no le afecten.