Cyhoeddodd GitHub newidiadau i'r gwasanaeth sy'n ymwneud â chryfhau diogelwch y protocol Git a ddefnyddir yn ystod gweithrediadau gwthio git a thynnu git trwy SSH neu'r cynllun “git://” (ni fydd y newidiadau yn effeithio ar geisiadau trwy https://). Unwaith y daw'r newidiadau i rym, bydd angen o leiaf fersiwn OpenSSH 7.2 (a ryddhawyd yn 2016) neu fersiwn PuTTY 0.75 (a ryddhawyd ym mis Mai eleni) i gysylltu â GitHub trwy SSH. Er enghraifft, bydd cydnawsedd â'r cleient SSH a gynhwysir yn CentOS 6 a Ubuntu 14.04, nad ydynt yn cael eu cefnogi bellach, yn cael eu torri.
Mae'r newidiadau'n cynnwys dileu cefnogaeth ar gyfer galwadau heb eu hamgryptio i Git (trwy “git:: //”) a gofynion cynyddol ar gyfer allweddi SSH a ddefnyddir wrth gyrchu GitHub. Bydd GitHub yn rhoi'r gorau i gefnogi'r holl allweddi DSA ac algorithmau SSH etifeddiaeth megis ciphers CBC (aes256-cbc, aes192-cbc aes128-cbc) a HMAC-SHA-1. Yn ogystal, mae gofynion ychwanegol yn cael eu cyflwyno ar gyfer allweddi RSA newydd (bydd y defnydd o SHA-1 yn cael ei wahardd) ac mae cefnogaeth ar gyfer allweddi gwesteiwr ECDSA ac Ed25519 yn cael ei weithredu.
Bydd newidiadau'n cael eu cyflwyno'n raddol. Ar 14 Medi, bydd allweddi gwesteiwr ECDSA ac Ed25519 newydd yn cael eu cynhyrchu. Ar Dachwedd 2, bydd cefnogaeth ar gyfer allweddi RSA newydd yn seiliedig ar SHA-1 yn dod i ben (bydd allweddi a gynhyrchwyd yn flaenorol yn parhau i weithio). Ar Dachwedd 16, bydd cefnogaeth ar gyfer allweddi gwesteiwr yn seiliedig ar yr algorithm DSA yn dod i ben. Ar Ionawr 11, 2022, bydd cefnogaeth ar gyfer algorithmau SSH hŷn a'r gallu i gael mynediad heb amgryptio yn cael eu dirwyn i ben dros dro fel arbrawf. Ar Fawrth 15, bydd cefnogaeth ar gyfer hen algorithmau yn gwbl anabl.
Yn ogystal, gallwn nodi bod newid rhagosodedig wedi'i wneud i gronfa god OpenSSH sy'n analluogi prosesu allweddi RSA yn seiliedig ar yr hash SHA-1 (“ssh-rsa”). Mae cefnogaeth ar gyfer allweddi RSA gyda hashes SHA-256 a SHA-512 (rsa-sha2-256/512) yn parhau heb ei newid. Mae terfynu cefnogaeth ar gyfer allweddi “ssh-rsa” oherwydd effeithlonrwydd cynyddol ymosodiadau gwrthdrawiad gyda rhagddodiad penodol (amcangyfrifir bod cost dewis gwrthdrawiad oddeutu 50 mil o ddoleri). I brofi'r defnydd o ssh-rsa ar eich systemau, gallwch geisio cysylltu trwy ssh gyda'r opsiwn “-oHostKeyAlgorithms= -ssh-rsa”.
Ffynhonnell: opennet.ru