Segurança Pós-Quântica para Acesso Git via SSH no GitHub

Introdução à Segurança Pós-Quântica no Acesso Git SSH

Como engenheiro da AITY, estou sempre atento às inovações que reforçam a segurança digital. O GitHub anunciou recentemente a introdução de novos métodos de troca de chaves seguros contra ataques pós-quânticos para acesso SSH ao Git. Esta iniciativa visa aprimorar significativamente a proteção dos dados Git em trânsito, garantindo que permaneçam seguros agora e no futuro, mesmo diante do avanço da computação quântica.

Essas mudanças focam exclusivamente no acesso SSH e não impactam o acesso via HTTPS. Elas são um passo proativo para garantir a confidencialidade dos seus dados contra potenciais ameaças de decriptografia realizadas por computadores quânticos.

A Ameaça dos Computadores Quânticos e Ataques "Store Now, Decrypt Later"

Atualmente, os algoritmos de troca de chaves convencionais são considerados seguros. No entanto, a perspectiva de computadores quânticos suficientemente poderosos para quebrar a criptografia existente cria uma nova dimensão de risco. A grande preocupação é o que chamamos de ataque "store now, decrypt later": * Um atacante pode capturar e armazenar sessões criptografadas hoje. * Se um computador quântico capaz for construído no futuro, o atacante poderia então decifrar retroativamente esses dados.

Embora não saibamos se ou quando tal computador quântico será uma realidade, a indústria de segurança está agindo preventivamente para mitigar essa ameaça de longo prazo.

Implementando a Troca de Chaves Híbrida Pós-Quântica

Para combater essa vulnerabilidade futura, o GitHub está implementando um algoritmo de troca de chaves SSH pós-quântico híbrido, conhecido como sntrup761x25519-sha512 (ou sntrup761x25519-sha512@openssh.com).

• Este algoritmo oferece segurança contra computadores quânticos ao combinar o novo algoritmo pós-quântico Streamlined NTRU Prime com o algoritmo clássico Elliptic Curve Diffie-Hellman, utilizando a curva X25519.
• A abordagem híbrida é crucial: mesmo que os algoritmos pós-quânticos sejam mais recentes e, portanto, menos testados, a combinação com o algoritmo clássico garante que a segurança não será inferior àquela que o algoritmo clássico proporciona.

Escopo e Cronograma da Implementação

Esta atualização terá um escopo específico de aplicação:

• Alcance: Será implementada em github.com e nas regiões do GitHub Enterprise Cloud com residência de dados fora dos EUA.
• Exceções: Não afeta o GitHub Enterprise Cloud com residência de dados nos Estados Unidos, pois este algoritmo pós-quântico ainda não foi aprovado pelo FIPS (Federal Information Processing Standards).
• Impacto no Cliente: Apenas conexões com um cliente Git via SSH são afetadas. Se seus remotes Git começam com https://, você não será impactado.
• Ativação: O novo algoritmo será habilitado em 17 de setembro de 2025 para GitHub.com e GitHub Enterprise Cloud com residência de dados (com exceção da região dos EUA).
• GitHub Enterprise Server: Também será incluído no GitHub Enterprise Server 3.19.

Verificando e Preparando Seu Cliente SSH

Para a maioria dos usuários, a transição será imperceptível:

• Se o seu cliente SSH suporta sntrup761x25519-sha512 ou sntrup761x25519-sha512@openssh.com (por exemplo, OpenSSH 9.0 ou mais recente), ele escolherá automaticamente o novo algoritmo por padrão, se for preferido pelo seu cliente. Nenhuma alteração de configuração é necessária, a menos que você tenha modificado as configurações padrão do seu cliente.
• Clientes SSH mais antigos farão fallback para um algoritmo de troca de chaves anterior, o que significa que eles continuarão funcionando normalmente, mas sem os benefícios de segurança pós-quântica até que sejam atualizados. O protocolo SSH seleciona automaticamente um algoritmo compatível com ambas as partes.

Para verificar o suporte do seu cliente OpenSSH para este algoritmo, execute:

ssh -Q kex

Se você vir sntrup761x25519-sha512 ou sntrup761x25519-sha512@openssh.com na lista, o algoritmo é suportado.

Para verificar qual algoritmo de troca de chaves o OpenSSH usa ao se conectar ao GitHub.com, execute (em Linux, macOS, Git Bash ou ambientes Unix-like):

ssh -v git@github.com exit 2>&1 | grep 'kex: algorithm:'

Para outras implementações de SSH, consulte a documentação específica.

A implementação de métodos de troca de chaves pós-quânticos para acesso SSH ao Git é um movimento estratégico e necessário para garantir a longevidade da segurança dos dados em um cenário tecnológico em constante evolução. Manter-se atualizado com as versões de clientes SSH é a melhor prática para aproveitar essas melhorias. Na AITY, valorizamos essa visão proativa e continuaremos a monitorar os desenvolvimentos em segurança para orientar nossas práticas e soluções.