GitHub te anonse chanjman nan sèvis la ki gen rapò ak ranfòse sekirite pwotokòl Git yo itilize pandan operasyon git push ak git pull via SSH oswa konplo "git://" (demann atravè https:// pa pral afekte pa chanjman yo). Yon fwa chanjman yo pran efè, konekte ak GitHub atravè SSH pral mande pou omwen OpenSSH vèsyon 7.2 (lage nan 2016) oswa PuTTY vèsyon 0.75 (lage nan mwa me ane sa a). Pou egzanp, konpatibilite ak kliyan SSH ki enkli nan CentOS 6 ak Ubuntu 14.04, ki pa sipòte ankò, yo pral kase.
Chanjman yo gen ladan yo retire sipò pou apèl ki pa chiffres nan Git (via "git://") ak ogmante kondisyon pou kle SSH yo itilize lè w ap jwenn aksè nan GitHub. GitHub ap sispann sipòte tout kle DSA ak eritaj algoritm SSH tankou chifreman CBC (aes256-cbc, aes192-cbc aes128-cbc) ak HMAC-SHA-1. Anplis de sa, kondisyon adisyonèl yo ap prezante pou nouvo kle RSA (yo ap entèdi itilizasyon SHA-1) epi yo ap aplike sipò pou kle lame ECDSA ak Ed25519.
Chanjman yo pral prezante piti piti. 14 septanm, nouvo kle lame ECDSA ak Ed25519 pral pwodwi. Nan dat 2 novanm, sipò pou nouvo kle RSA ki baze sou SHA-1 pral sispann (kle yo te pwodwi anvan yo ap kontinye travay). Nan dat 16 novanm, sipò pou kle lame ki baze sou algorithm DSA a pral sispann. 11 janvye 2022, sipò pou pi gran algoritm SSH ak kapasite pou jwenn aksè san chifreman pral sispann tanporèman kòm yon eksperyans. Sou 15 mas, sipò pou ansyen algoritm yo pral konplètman enfim.
Anplis de sa, nou ka sonje ke yo te fè yon chanjman default nan baz kòd OpenSSH ki enfim pwosesis la nan kle RSA ki baze sou hash SHA-1 ("ssh-rsa"). Sipò pou kle RSA ak hache SHA-256 ak SHA-512 (rsa-sha2-256/512) rete san okenn chanjman. Sispansyon sipò pou kle "ssh-rsa" se akòz ogmante efikasite nan atak kolizyon ak yon prefiks bay (se pri pou chwazi yon kolizyon estime a apeprè 50 mil dola). Pou teste itilizasyon ssh-rsa sou sistèm ou yo, ou ka eseye konekte via ssh ak opsyon "-oHostKeyAlgorithms=-ssh-rsa".
Sous: opennet.ru