أعلن GitHub عن تغييرات في الخدمة تتعلق بتعزيز أمان بروتوكول Git المستخدم أثناء عمليات git Push وgit pull عبر SSH أو مخطط "git://" (لن تتأثر الطلبات عبر https:// بالتغييرات). بمجرد تفعيل التغييرات، سيتطلب الاتصال بـ GitHub عبر SSH الإصدار 7.2 من OpenSSH على الأقل (تم إصداره في عام 2016) أو الإصدار 0.75 من PuTTY (تم إصداره في مايو من هذا العام). على سبيل المثال، سيتم كسر التوافق مع عميل SSH المضمن في CentOS 6 وUbuntu 14.04، والذي لم يعد مدعومًا.
تتضمن التغييرات إزالة دعم المكالمات غير المشفرة إلى Git (عبر "git://") وزيادة متطلبات مفاتيح SSH المستخدمة عند الوصول إلى GitHub. سيتوقف GitHub عن دعم جميع مفاتيح DSA وخوارزميات SSH القديمة مثل تشفير CBC (aes256-cbc، aes192-cbc aes128-cbc) وHMAC-SHA-1. بالإضافة إلى ذلك، يتم تقديم متطلبات إضافية لمفاتيح RSA الجديدة (سيكون استخدام SHA-1 محظورًا) ويجري تنفيذ دعم مفاتيح المضيف ECDSA وEd25519.
سيتم إدخال التغييرات تدريجيا. في 14 سبتمبر، سيتم إنشاء مفاتيح مضيف ECDSA وEd25519 جديدة. في 2 نوفمبر، سيتم إيقاف دعم مفاتيح RSA الجديدة المستندة إلى SHA-1 (ستستمر المفاتيح التي تم إنشاؤها مسبقًا في العمل). في 16 نوفمبر، سيتم إيقاف دعم مفاتيح المضيف المستندة إلى خوارزمية DSA. في 11 يناير 2022، سيتم إيقاف دعم خوارزميات SSH الأقدم والقدرة على الوصول بدون تشفير مؤقتًا كتجربة. في 15 مارس، سيتم تعطيل دعم الخوارزميات القديمة تمامًا.
بالإضافة إلى ذلك، يمكننا ملاحظة أنه تم إجراء تغيير افتراضي على قاعدة تعليمات OpenSSH التي تعمل على تعطيل معالجة مفاتيح RSA بناءً على تجزئة SHA-1 ("ssh-rsa"). يظل دعم مفاتيح RSA مع تجزئات SHA-256 وSHA-512 (rsa-sha2-256/512) دون تغيير. يرجع توقف دعم مفاتيح "ssh-rsa" إلى زيادة كفاءة هجمات التصادم ببادئة معينة (تقدر تكلفة اختيار التصادم بحوالي 50 ألف دولار). لاختبار استخدام ssh-rsa على أنظمتك، يمكنك تجربة الاتصال عبر ssh باستخدام خيار "-oHostKeyAlgorithms=-ssh-rsa".
المصدر: opennet.ru