GitHub强化平台Git协定安全性，变更支援的金钥和签章算法

GitHub团队进一步提高平台安全性，决定更改Git协定，在用户拉取和推送Git资料的时候，提供额外的保护，这些更改包括取消所有DSA金钥支援、删除旧的SSH算法、关闭未加密的Git协定，以及新增要求RSA金钥等。大部分用户不会受到影响，只有使用SSH或git://连接的用户，需要进行相对应的措施。

之所以GitHub要更改SSH支援的金钥以及删除未加密的Git协定，官方提到，公钥加密技术仰赖安全算法和足够强健的金钥，来确保用户的资料安全，而较少位元的意思，通常代表较容易遭到暴力破解，而且较旧的算法也存在已知的攻击漏洞，考虑到现代运算能力和攻击的变化，在2001年被视为安全的技术，在2021年已经不再安全。

这些变更包括删除旧的金钥类型，官方解释，DSA金钥只有80位元安全等级，低于一般标准128位元，而且现在也只有不到0.3％的GitHub请求使用DSA，因此拒绝DSA金钥能在对极少用户产生影响的情况下，提高安全性，之后GitHub还会取消对DSA主机金钥的支援。

同时，GitHub还要弃用不安全的签章算法，虽然RSA金钥比DSA强大，但是较旧的Git客户端，可能会将RSA金钥和过时的SHA-1签章算法一起使用，官方强调，不少SSH客户端包括OpenSSH 7.2和更新的版本，都已支援SHA-2签章RSA，这是更安全的配置，但是因为SHA-1签章算法很脆弱，因此他们决定不再允许新的RSA客户端使用SHA-1签章，而必须使用SHA-2。

GitHub还要移除SSH服务的部分算法，像是hmac-sha1讯息鉴别码和所有CBC加密也都会被删除，特别是与不少攻击相关联的CBC加密，而官方也表示，根据他们统计资料，现在几乎所有客户端都使用更安全的加密和MAC算法，因此删除这些不安全的算法，对用户影响不大。

ECDSA和Ed25519是以椭圆曲线加密为基础的新标准，提供适度的大小和计算复杂度，GitHub在过去并没有提供这些作为主机金钥，但是他们承诺将会开始提供ECDSA和Ed25519作为选项。而在Git协定方面，未加密的git://没有提供完整性或是身份验证，所以容易遭到窜改，官方表示，已经很少用户使用该协定，特别这些协定并无法用来推送程式码，因此GitHub现在停用对该协定的支援。

这些更改会从9月14日开始，一直到2022年3月15日，开发者可以使用OpenSSH 7.2以上版本，使用更新到libssh2 1.9.0的libgit2与其他工具，并且准备接受新的主机金钥，以避免受到影响。当用户的Git远端操作使用https://开头，则不会受到任何影响。