GitHub анонсировал внесение в сервис изменений, связанных с усилением защиты протокола Git, применяемого в процессе выполнения операций git push и git pull через SSH или схему «git://» (обращения через https:// изменения не коснутся). После начала действия изменений для подключения к GitHub по SSH потребуется как минимум OpenSSH версии 7.2 (выпущен в 2016 году) или PuTTY версии 0.75 (выпущен в мае этого года). Например, будет нарушена совместимость с SSH-клиентом из состава CentOS و6 Ubuntu 14.04, поддержка которых уже прекращена.
تتضمن التغييرات إزالة دعم المكالمات غير المشفرة إلى Git (عبر "git://") وزيادة متطلبات مفاتيح SSH المستخدمة عند الوصول إلى GitHub. سيتوقف GitHub عن دعم جميع مفاتيح DSA وخوارزميات SSH القديمة مثل تشفير CBC (aes256-cbc، aes192-cbc aes128-cbc) وHMAC-SHA-1. بالإضافة إلى ذلك، يتم تقديم متطلبات إضافية لمفاتيح RSA الجديدة (سيكون استخدام SHA-1 محظورًا) ويجري تنفيذ دعم مفاتيح المضيف ECDSA وEd25519.
سيتم إدخال التغييرات تدريجيا. في 14 سبتمبر، سيتم إنشاء مفاتيح مضيف ECDSA وEd25519 جديدة. في 2 نوفمبر، سيتم إيقاف دعم مفاتيح RSA الجديدة المستندة إلى SHA-1 (ستستمر المفاتيح التي تم إنشاؤها مسبقًا في العمل). في 16 نوفمبر، سيتم إيقاف دعم مفاتيح المضيف المستندة إلى خوارزمية DSA. في 11 يناير 2022، سيتم إيقاف دعم خوارزميات SSH الأقدم والقدرة على الوصول بدون تشفير مؤقتًا كتجربة. في 15 مارس، سيتم تعطيل دعم الخوارزميات القديمة تمامًا.
بالإضافة إلى ذلك، يمكننا ملاحظة أنه تم إجراء تغيير افتراضي على قاعدة تعليمات OpenSSH التي تعمل على تعطيل معالجة مفاتيح RSA بناءً على تجزئة SHA-1 ("ssh-rsa"). يظل دعم مفاتيح RSA مع تجزئات SHA-256 وSHA-512 (rsa-sha2-256/512) دون تغيير. يرجع توقف دعم مفاتيح "ssh-rsa" إلى زيادة كفاءة هجمات التصادم ببادئة معينة (تقدر تكلفة اختيار التصادم بحوالي 50 ألف دولار). لاختبار استخدام ssh-rsa على أنظمتك، يمكنك تجربة الاتصال عبر ssh باستخدام خيار "-oHostKeyAlgorithms=-ssh-rsa".
المصدر: opennet.ru
