GitHub-ը հայտարարեց ծառայության մեջ փոփոխություններ՝ կապված Git արձանագրության անվտանգության ամրապնդման հետ, որն օգտագործվում է git push և git pull գործողությունների ժամանակ SSH-ի կամ «git://» սխեմայի միջոցով (https://-ի հարցումները չեն ազդի փոփոխություններից): Փոփոխությունների ուժի մեջ մտնելուց հետո SSH-ի միջոցով GitHub-ին միանալու համար կպահանջվի առնվազն OpenSSH տարբերակ 7.2 (թողարկված 2016 թվականին) կամ PuTTY տարբերակ 0.75 (թողարկված այս տարվա մայիսին): Օրինակ, CentOS 6-ում և Ubuntu 14.04-ում ներառված SSH հաճախորդի հետ համատեղելիությունը, որոնք այլևս չեն աջակցվում, կխախտվի:
Փոփոխությունները ներառում են Git-ին չգաղտնագրված զանգերի աջակցության հեռացում («git://»-ի միջոցով) և GitHub մուտք գործելու ժամանակ օգտագործվող SSH բանալիների պահանջների ավելացում: GitHub-ը կդադարի աջակցել բոլոր DSA ստեղներին և SSH-ի նախկին ալգորիթմներին, ինչպիսիք են CBC ծածկագրերը (aes256-cbc, aes192-cbc aes128-cbc) և HMAC-SHA-1: Բացի այդ, ներդրվում են լրացուցիչ պահանջներ նոր RSA ստեղների համար (SHA-1-ի օգտագործումն արգելվելու է) և իրականացվում է ECDSA և Ed25519 հոսթ բանալիների աջակցություն:
Փոփոխություններն աստիճանաբար կներկայացվեն. Սեպտեմբերի 14-ին կստեղծվեն նոր ECDSA և Ed25519 հյուրընկալող բանալիներ: Նոյեմբերի 2-ին SHA-1-ի վրա հիմնված նոր RSA ստեղների աջակցությունը կդադարեցվի (նախկինում ստեղծված բանալիները կշարունակեն աշխատել): Նոյեմբերի 16-ին DSA ալգորիթմի վրա հիմնված հյուրընկալող ստեղների աջակցությունը կդադարեցվի։ 11 թվականի հունվարի 2022-ին ավելի հին SSH ալգորիթմների աջակցությունը և առանց գաղտնագրման մուտք գործելու հնարավորությունը ժամանակավորապես կդադարեցվի որպես փորձ: Մարտի 15-ին ամբողջությամբ կանջատվի հին ալգորիթմների աջակցությունը։
Բացի այդ, մենք կարող ենք նշել, որ կանխադրված փոփոխություն է կատարվել OpenSSH կոդերի բազայում, որն անջատում է RSA ստեղների մշակումը SHA-1 հեշի հիման վրա («ssh-rsa»): SHA-256 և SHA-512 հեշերով RSA ստեղների աջակցությունը (rsa-sha2-256/512) մնում է անփոփոխ: «ssh-rsa» ստեղների աջակցության դադարեցումը պայմանավորված է տվյալ նախածանցով բախումների հարձակումների արդյունավետության բարձրացմամբ (բախման ընտրության արժեքը գնահատվում է մոտավորապես 50 հազար դոլար): Ձեր համակարգերում ssh-rsa-ի օգտագործումը ստուգելու համար կարող եք փորձել միանալ ssh-ի միջոցով «-oHostKeyAlgorithms=-ssh-rsa» տարբերակով:
Source: opennet.ru