GitHub SSH же “git://” схемасы аркылуу git push жана git pull операцияларында колдонулган Git протоколунун коопсуздугун бекемдөөгө байланыштуу кызматка өзгөртүүлөрдү жарыялады (https:// аркылуу суроо-талаптарга өзгөртүүлөр таасир этпейт). Өзгөртүүлөр күчүнө киргенден кийин, SSH аркылуу GitHub'ка туташуу үчүн кеминде OpenSSH 7.2 (2016-жылы чыккан) же PuTTY 0.75 (ушул жылдын май айында чыккан) версиясы талап кылынат. Мисалы, мындан ары колдоого алынбаган CentOS 6 жана Ubuntu 14.04 камтылган SSH кардары менен шайкештик бузулат.
Өзгөртүүлөргө Gitке шифрленбеген чалууларды колдоону алып салуу («git://» аркылуу) жана GitHub'ка кирүүдө колдонулган SSH ачкычтарына талаптардын жогорулашы кирет. GitHub бардык DSA ачкычтарын жана CBC шифрлери (aes256-cbc, aes192-cbc aes128-cbc) жана HMAC-SHA-1 сыяктуу эски SSH алгоритмдерин колдоону токтотот. Мындан тышкары, жаңы RSA ачкычтарына кошумча талаптар киргизилүүдө (SHA-1 колдонууга тыюу салынат) жана ECDSA жана Ed25519 хост ачкычтарын колдоо ишке ашырылууда.
Өзгөртүүлөр акырындык менен киргизилет. 14-сентябрда жаңы ECDSA жана Ed25519 хост ачкычтары түзүлөт. 2-ноябрда, жаңы SHA-1 негизиндеги RSA ачкычтарын колдоо токтотулат (мурда түзүлгөн ачкычтар иштей берет). 16-ноябрда DSA алгоритмине негизделген хост ачкычтарын колдоо токтотулат. 11-жылдын 2022-январында эски SSH алгоритмдерин колдоо жана шифрлөөсүз кирүү мүмкүнчүлүгү эксперимент катары убактылуу токтотулат. 15-мартта эски алгоритмдерди колдоо толугу менен өчүрүлөт.
Кошумчалай кетсек, OpenSSH код базасына демейки өзгөртүү киргизилген, ал SHA-1 хэшине (“ssh-rsa”) негизинде RSA ачкычтарын иштетүүнү өчүрөт. SHA-256 жана SHA-512 хэштери менен RSA ачкычтарын колдоо (rsa-sha2-256/512) өзгөрүүсүз бойдон калууда. "Ssh-rsa" баскычтарын колдоону токтотуу берилген префикс менен кагылышуу чабуулдарынын эффективдүүлүгүнүн жогорулашына байланыштуу (кагылышууну тандоонун баасы болжол менен 50 миң долларга бааланат). Системаларыңызда ssh-rsa колдонулушун текшерүү үчүн "-oHostKeyAlgorithms=-ssh-rsa" опциясы менен ssh аркылуу туташууга аракет кылсаңыз болот.
Source: opennet.ru