GitHub SSH və ya “git://” sxemi vasitəsilə git push və git pull əməliyyatları zamanı istifadə olunan Git protokolunun təhlükəsizliyinin gücləndirilməsi ilə bağlı xidmətdə dəyişiklikləri elan etdi (https:// vasitəsilə edilən sorğular dəyişikliklərdən təsirlənməyəcək). Dəyişikliklər qüvvəyə mindikdən sonra SSH vasitəsilə GitHub-a qoşulmaq üçün ən azı OpenSSH versiyası 7.2 (2016-cı ildə buraxıldı) və ya PuTTY versiyası 0.75 (bu ilin may ayında buraxıldı) tələb olunacaq. Məsələn, artıq dəstəklənməyən CentOS 6 və Ubuntu 14.04-ə daxil olan SSH müştərisi ilə uyğunluq pozulacaq.
Dəyişikliklərə Git-ə şifrələnməmiş zənglər üçün dəstəyin aradan qaldırılması (“git://” vasitəsilə) və GitHub-a daxil olarkən istifadə edilən SSH açarlarına artan tələblər daxildir. GitHub bütün DSA açarlarını və CBC şifrələri (aes256-cbc, aes192-cbc aes128-cbc) və HMAC-SHA-1 kimi köhnə SSH alqoritmlərini dəstəkləməyi dayandıracaq. Bundan əlavə, yeni RSA açarları üçün əlavə tələblər tətbiq edilir (SHA-1-in istifadəsi qadağan olunacaq) və ECDSA və Ed25519 host açarlarına dəstək tətbiq edilir.
Dəyişikliklər tədricən tətbiq olunacaq. Sentyabrın 14-də yeni ECDSA və Ed25519 host açarları yaradılacaq. Noyabrın 2-də yeni SHA-1 əsaslı RSA açarlarına dəstək dayandırılacaq (əvvəllər yaradılmış açarlar işləməyə davam edəcək). Noyabrın 16-da DSA alqoritminə əsaslanan host açarlarına dəstək dayandırılacaq. 11 yanvar 2022-ci ildə köhnə SSH alqoritmlərinə dəstək və şifrələmədən giriş imkanı sınaq kimi müvəqqəti olaraq dayandırılacaq. Martın 15-də köhnə alqoritmlərə dəstək tamamilə aradan qaldırılacaq.
Əlavə olaraq qeyd edə bilərik ki, OpenSSH kod bazasında SHA-1 hash (“ssh-rsa”) əsasında RSA açarlarının işlənməsini qeyri-aktiv edən standart dəyişiklik edilib. SHA-256 və SHA-512 hash (rsa-sha2-256/512) ilə RSA açarları üçün dəstək dəyişməz olaraq qalır. “Ssh-rsa” düymələrinə dəstəyin dayandırılması verilmiş prefikslə toqquşma hücumlarının effektivliyinin artması ilə bağlıdır (toqquşmanın seçilməsinin dəyəri təxminən 50 min dollar qiymətləndirilir). Sistemlərinizdə ssh-rsa istifadəsini yoxlamaq üçün “-oHostKeyAlqoritmləri=-ssh-rsa” seçimi ilə ssh vasitəsilə qoşulmağa cəhd edə bilərsiniz.
Mənbə: opennet.ru