GitHub paziņoja par izmaiņām pakalpojumā, kas saistītas ar Git protokola drošības stiprināšanu, kas tiek izmantots git push un git pull operāciju laikā, izmantojot SSH vai “git://” shēmu (pieprasījumus, izmantojot https://, izmaiņas neietekmēs). Kad izmaiņas stāsies spēkā, lai izveidotu savienojumu ar GitHub, izmantojot SSH, būs nepieciešama vismaz OpenSSH versija 7.2 (izlaista 2016. gadā) vai PuTTY versija 0.75 (izlaista šī gada maijā). Piemēram, tiks bojāta saderība ar SSH klientu, kas iekļauts CentOS 6 un Ubuntu 14.04, kas vairs netiek atbalstīti.
Izmaiņas ietver atbalsta atcelšanu nešifrētiem zvaniem uz Git (izmantojot “git://”) un paaugstinātas prasības SSH atslēgām, ko izmanto, piekļūstot GitHub. GitHub pārtrauks atbalstīt visas DSA atslēgas un mantotos SSH algoritmus, piemēram, CBC šifrus (aes256-cbc, aes192-cbc aes128-cbc) un HMAC-SHA-1. Turklāt tiek ieviestas papildu prasības jaunajām RSA atslēgām (SHA-1 izmantošana būs aizliegta) un tiek ieviests atbalsts ECDSA un Ed25519 resursdatora atslēgām.
Izmaiņas tiks ieviestas pakāpeniski. 14. septembrī tiks ģenerētas jaunas ECDSA un Ed25519 resursdatora atslēgas. 2. novembrī tiks pārtraukts atbalsts jaunajām uz SHA-1 balstītām RSA atslēgām (iepriekš ģenerētās atslēgas turpinās darboties). 16. novembrī tiks pārtraukts atbalsts resursdatora atslēgām, kuru pamatā ir DSA algoritms. 11. gada 2022. janvārī kā eksperiments uz laiku tiks pārtraukts atbalsts vecākiem SSH algoritmiem un piekļuves iespēja bez šifrēšanas. 15. martā veco algoritmu atbalsts tiks pilnībā atspējots.
Turklāt mēs varam atzīmēt, ka OpenSSH kodu bāzē ir veiktas noklusējuma izmaiņas, kas atspējo RSA atslēgu apstrādi, pamatojoties uz SHA-1 hash (“ssh-rsa”). Atbalsts RSA atslēgām ar SHA-256 un SHA-512 jaucējiem (rsa-sha2-256/512) paliek nemainīgs. “ssh-rsa” taustiņu atbalsta pārtraukšana ir saistīta ar paaugstinātu sadursmes uzbrukumu efektivitāti ar noteiktu prefiksu (sadursmes atlases izmaksas tiek lēstas aptuveni 50 tūkstošu dolāru apmērā). Lai pārbaudītu ssh-rsa izmantošanu savās sistēmās, varat mēģināt izveidot savienojumu, izmantojot ssh, izmantojot opciju “-oHostKeyAlgorithms=-ssh-rsa”.
Avots: opennet.ru