¡Atención, comunidad geek! GitHub está tomando medidas para proteger nuestros repositorios del futuro… ¡un futuro donde las computadoras cuánticas podrían romper la criptografía actual! Han anunciado la implementación de un nuevo algoritmo de intercambio de claves SSH diseñado para resistir los ataques de estas potentes máquinas.
¿Qué está cambiando en GitHub?
GitHub está añadiendo un nuevo algoritmo de intercambio de claves SSH post-cuántico, conocido como sntrup761x25519-sha512 y sntrup761x25519-sha512@openssh.com, a sus endpoints SSH para acceder a datos de Git. En cristiano, esto significa que la forma en que tu cliente Git y GitHub negocian una conexión segura está siendo actualizada para resistir futuros ataques de computadoras cuánticas.
Puntos clave:
- Afecta solo al acceso SSH, no al acceso HTTPS. Si usas
https://para clonar y hacer push a tus repositorios, no te preocupes por esto. - No afecta a GitHub Enterprise Cloud con residencia de datos en la región de Estados Unidos debido a restricciones FIPS (Federal Information Processing Standards).
¿Por qué es importante la seguridad post-cuántica?
Aunque aún no tengamos computadoras cuánticas capaces de romper la criptografía actual, la amenaza es real. Un atacante podría interceptar y guardar sesiones encriptadas hoy, y descifrarlas en el futuro si se construyera una computadora cuántica lo suficientemente potente. Esto se conoce como un ataque de “almacenar ahora, descifrar después”.
Para protegerse contra esta amenaza, GitHub está implementando un algoritmo híbrido post-cuántico: sntrup761x25519-sha512. Este algoritmo combina Streamlined NTRU Prime, un nuevo algoritmo resistente a ataques cuánticos, con el algoritmo clásico Elliptic Curve Diffie-Hellman usando la curva X25519. Al combinar ambos, se aseguran de que la seguridad no sea menor que la que proporciona el algoritmo clásico, incluso si el nuevo algoritmo aún no ha sido probado exhaustivamente.
¿Cuándo entra en vigor este cambio?
El nuevo algoritmo se activará el 17 de septiembre de 2025 para GitHub.com y las regiones de GitHub Enterprise Cloud con residencia de datos (excepto la región de EE. UU.). También se incluirá en GitHub Enterprise Server 3.19.
¿Cómo me preparo para este cambio?
Si tus Git remotos comienzan con https://, este cambio no te afectará. Si utilizas SSH, lo más probable es que no necesites hacer nada. Si tu cliente SSH soporta sntrup761x25519-sha512@openssh.com o sntrup761x25519-sha512 (por ejemplo, OpenSSH 9.0 o más reciente), seleccionará automáticamente el nuevo algoritmo por defecto.
Si utilizas un cliente SSH más antiguo, volverá a un algoritmo de intercambio de claves más antiguo. Esto significa que no disfrutarás de los beneficios de seguridad del algoritmo post-cuántico hasta que actualices tu cliente, pero tu experiencia SSH debería seguir funcionando normalmente.
¿Cómo comprobar si mi cliente SSH soporta el nuevo algoritmo?
Puedes ejecutar el siguiente comando en tu terminal:
ssh -Q kexSi ves sntrup761x25519-sha512 o sntrup761x25519-sha512@openssh.com en la lista, ¡estás listo!
¿Cómo comprobar qué algoritmo de intercambio de claves está usando mi cliente SSH al conectar a GitHub?
Ejecuta este comando en Linux, macOS, Git Bash u otros entornos tipo Unix:
ssh -v git@github.com exit 2>&1 | grep 'kex: algorithm:'Para otras implementaciones de SSH, consulta la documentación correspondiente.
¿Qué sigue?
GitHub se mantendrá al tanto de los últimos avances en seguridad. A medida que las bibliotecas SSH que utilizan comiencen a admitir algoritmos post-cuánticos adicionales, incluidos los que cumplen con FIPS, nos informarán sobre sus ofertas.
En resumen, GitHub está tomando la delantera en la protección de nuestros datos contra las futuras amenazas de la computación cuántica. ¡Una excelente noticia para la seguridad de nuestros proyectos!
Fuente: GitHub Blog
Leave a Comment