GitHub SSH немесе «git://» схемасы арқылы git push және git pull операциялары кезінде пайдаланылатын Git хаттамасының қауіпсіздігін күшейтуге байланысты қызметке өзгерістер туралы хабарлады (https:// арқылы сұрауларға өзгертулер әсер етпейді). Өзгерістер күшіне енгеннен кейін, GitHub жүйесіне SSH арқылы қосылу үшін кем дегенде OpenSSH 7.2 нұсқасы (2016 жылы шыққан) немесе PuTTY 0.75 нұсқасы (осы жылдың мамырында шыққан) қажет болады. Мысалы, бұдан былай қолдау көрсетілмейтін CentOS 6 және Ubuntu 14.04 жүйесіне енгізілген SSH клиентімен үйлесімділік бұзылады.
Өзгерістер Git-ке шифрланбаған қоңырауларға қолдау көрсетуді жоюды («git://» арқылы) және GitHub-қа кіру кезінде қолданылатын SSH кілттеріне қойылатын талаптардың жоғарылауын қамтиды. GitHub барлық DSA кілттерін және CBC шифрлары (aes256-cbc, aes192-cbc aes128-cbc) және HMAC-SHA-1 сияқты бұрынғы SSH алгоритмдерін қолдауды тоқтатады. Сонымен қатар, жаңа RSA кілттеріне қосымша талаптар енгізілуде (SHA-1 пайдалануға тыйым салынады) және ECDSA және Ed25519 хост кілттеріне қолдау көрсетілуде.
Өзгерістер кезең-кезеңімен енгізіледі. 14 қыркүйекте жаңа ECDSA және Ed25519 хост кілттері жасалады. 2 қарашада SHA-1 негізіндегі жаңа RSA кілттеріне қолдау көрсету тоқтатылады (бұрын жасалған кілттер жұмысын жалғастырады). 16 қарашада DSA алгоритміне негізделген хост кілттерін қолдау тоқтатылады. 11 жылдың 2022 қаңтарында ескі SSH алгоритмдерін қолдау және шифрлаусыз кіру мүмкіндігі эксперимент ретінде уақытша тоқтатылады. 15 наурызда ескі алгоритмдерді қолдау толығымен өшіріледі.
Бұған қоса, OpenSSH код базасына әдепкі өзгеріс енгізілгенін атап өтуге болады, ол SHA-1 хэшіне («ssh-rsa») негізделген RSA кілттерін өңдеуді өшіреді. SHA-256 және SHA-512 хэштері бар RSA кілттерін қолдау (rsa-sha2-256/512) өзгеріссіз қалады. «Ssh-rsa» кілттерін қолдауды тоқтату берілген префикспен соқтығысқан шабуылдардың тиімділігін арттыруға байланысты (соқтығысты таңдау құны шамамен 50 мың долларға бағаланады). Жүйелеріңізде ssh-rsa пайдалануын тексеру үшін “-oHostKeyAlgorithms=-ssh-rsa” опциясымен ssh арқылы қосылуға болады.
Ақпарат көзі: opennet.ru