„GitHub“ paskelbė apie paslaugos pakeitimus, susijusius su „Git“ protokolo, naudojamo „git push“ ir „git pull“ operacijų metu per SSH arba „git://“ schemą, saugumo stiprinimu (pakeitimai neturės įtakos užklausoms per https://). Kai pakeitimai įsigalios, norint prisijungti prie GitHub per SSH, reikės bent 7.2 OpenSSH versijos (išleista 2016 m.) arba PuTTY 0.75 versijos (išleista šių metų gegužę). Pavyzdžiui, bus pažeistas suderinamumas su SSH klientu, įtrauktu į CentOS 6 ir Ubuntu 14.04, kurie nebepalaikomi.
Pakeitimai apima nešifruotų skambučių į „Git“ (per „git://“) palaikymo pašalinimą ir padidintus SSH raktų, naudojamų prisijungiant prie „GitHub“, reikalavimus. „GitHub“ nustos palaikyti visus DSA raktus ir senus SSH algoritmus, tokius kaip CBC šifrai (aes256-cbc, aes192-cbc aes128-cbc) ir HMAC-SHA-1. Be to, naujiems RSA raktams įvedami papildomi reikalavimai (bus draudžiama naudoti SHA-1), diegiamas ECDSA ir Ed25519 pagrindinio kompiuterio raktų palaikymas.
Pakeitimai bus įvesti palaipsniui. Rugsėjo 14 d. bus sugeneruoti nauji ECDSA ir Ed25519 pagrindinio kompiuterio raktai. Lapkričio 2 d. bus nutrauktas naujų SHA-1 pagrindu sukurtų RSA raktų palaikymas (anksčiau sugeneruoti raktai veiks ir toliau). Lapkričio 16 d. DSA algoritmu pagrįstų pagrindinio kompiuterio raktų palaikymas bus nutrauktas. 11 m. sausio 2022 d. senesnių SSH algoritmų palaikymas ir galimybė pasiekti be šifravimo bus laikinai nutrauktas kaip eksperimentas. Kovo 15 d. senų algoritmų palaikymas bus visiškai išjungtas.
Be to, galime pastebėti, kad buvo atliktas numatytasis OpenSSH kodų bazės pakeitimas, kuris išjungia RSA raktų apdorojimą pagal SHA-1 maišą („ssh-rsa“). RSA raktų su SHA-256 ir SHA-512 maišais (rsa-sha2-256/512) palaikymas nesikeičia. „ssh-rsa“ raktų palaikymas nutrūko dėl padidėjusio susidūrimo atakų su tam tikru priešdėliu efektyvumo (susidurimo pasirinkimo kaina yra maždaug 50 tūkst. dolerių). Norėdami išbandyti ssh-rsa naudojimą savo sistemose, galite pabandyti prisijungti per ssh naudodami parinktį „-oHostKeyAlgorithms=-ssh-rsa“.
Šaltinis: opennet.ru