In einem ausführlichen Blogbeitrag erläutert GitHub sehr detailliert, an welchen Stellschrauben der Protokollsicherheit in Kürze gedreht werden soll. Im Zeitraum vom 14. September 2021 bis zum 15. März 2022 entfernt GitHub als unsicher betrachtete kryptografische Schlüssel und Algorithmen in SSH im Austausch gegen modernere Varianten. Das unverschlüsselte Git-Protokoll, von dem GitHub ausgeht, dass es ohnehin kaum noch jemand nutzt, wird komplett abgeschaltet. Wer also noch git:// nutzt, sollte die Gelegenheit nutzen und auf https:// umsteigen.
Nur SSH- (und Git-)Verbindungen betroffen
Die Maßnahmen sollen die Sicherheit der Push- und Pull-Aktionen verbessern und betreffen ausschließlich die SSH-Kommunikation. HTTPS-Verbindungen sind von keiner der Änderungen betroffen. GitHub geht daher zunächst davon aus, dass es kaum Betroffene geben wird, die die Änderungen überhaupt bemerken werden.
Im Einzelnen nimmt GitHub folgende Änderungen vor:
Die Unterstützung für alle DSA-Schlüssel wird gestrichen, weil die mit einer 80-Bit-Verschlüsselung als zu unsicher angesehen werden. Tatsächlich ist mittlerweile mindestens eine Verschlüsselung mit 128 Bit Standard. Generell gilt: je mehr Bits, desto schwerer zu knacken.
Die stärkeren RSA-Schlüssel bleiben erlaubt, allerdings nur in Kombination mit neueren Algorithmen mit SHA-2-Signaturen. SHA-1 wird für neue RSA-Schlüssel nicht mehr erlaubt. Diese müssen SHA-2 verwenden. Ebenfalls entfernt werden alle CBC-Chiffren. Die auf der Elliptische-Kurven-Kryptografie basierenden Standards ECDSA und Ed25519 können künftig auch in der Funktion des Serverschlüssels verwendet werden.
Übergangsphase beginnt am 14. September
In einer Übergangsphase, die am 14. September 2021 beginnt, setzt GitHub die Änderungen schrittweise um. SHA-1 und DSA-Schlüssel laufen im November 2021 aus. Am 15. März ist dann Schluss, alle Änderungen werden hart umgesetzt. Verwender von RSA-Keys mit SHA-1 müssen allerdings berücksichtigen, dass die auch nach dem März 2022 weiter funktionieren werden. Nur neue Schlüssel dieser Kombination können nach dem 2. November 2021 nicht mehr umgesetzt werden.