GitHub ประกาศการเปลี่ยนแปลงบริการที่เกี่ยวข้องกับการเสริมสร้างความปลอดภัยของโปรโตคอล Git ที่ใช้ระหว่างการดำเนินการ git push และ git pull ผ่าน SSH หรือโครงการ "git://" (คำขอผ่าน https:// จะไม่ได้รับผลกระทบจากการเปลี่ยนแปลง) เมื่อการเปลี่ยนแปลงมีผล การเชื่อมต่อกับ GitHub ผ่าน SSH จะต้องมี OpenSSH เวอร์ชัน 7.2 เป็นอย่างน้อย (เปิดตัวในปี 2016) หรือ PuTTY เวอร์ชัน 0.75 (เปิดตัวในเดือนพฤษภาคมของปีนี้) ตัวอย่างเช่น ความเข้ากันได้กับไคลเอนต์ SSH ที่รวมอยู่ใน CentOS 6 และ Ubuntu 14.04 ซึ่งไม่รองรับอีกต่อไปจะใช้งานไม่ได้
การเปลี่ยนแปลงนี้รวมถึงการยกเลิกการรองรับการเรียก Git ที่ไม่ได้เข้ารหัส (ผ่าน “git://”) และข้อกำหนดที่เพิ่มขึ้นสำหรับคีย์ SSH ที่ใช้ในการเข้าถึง GitHub GitHub จะหยุดรองรับคีย์ DSA และอัลกอริทึม SSH เดิมทั้งหมด เช่น การเข้ารหัส CBC (aes256-cbc, aes192-cbc aes128-cbc) และ HMAC-SHA-1 นอกจากนี้ ยังมีการนำข้อกำหนดเพิ่มเติมสำหรับคีย์ RSA ใหม่ (ห้ามใช้ SHA-1) และกำลังใช้การรองรับคีย์โฮสต์ ECDSA และ Ed25519
การเปลี่ยนแปลงจะค่อยๆ เปิดตัว ในวันที่ 14 กันยายน จะมีการสร้างคีย์โฮสต์ ECDSA และ Ed25519 ใหม่ ในวันที่ 2 พฤศจิกายน การสนับสนุนคีย์ RSA ที่ใช้ SHA-1 ใหม่จะถูกยกเลิก (คีย์ที่สร้างก่อนหน้านี้จะยังคงทำงานต่อไป) ในวันที่ 16 พฤศจิกายน การสนับสนุนคีย์โฮสต์ตามอัลกอริทึม DSA จะถูกยกเลิก ในวันที่ 11 มกราคม 2022 เราจะยุติการรองรับอัลกอริทึม SSH แบบเก่าและความสามารถในการเข้าถึงโดยไม่ต้องเข้ารหัสชั่วคราวในการทดลอง ในวันที่ 15 มีนาคม การสนับสนุนอัลกอริธึมเก่าจะถูกปิดการใช้งานโดยสิ้นเชิง
นอกจากนี้ เราสังเกตได้ว่ามีการเปลี่ยนแปลงเริ่มต้นกับโค้ดเบส OpenSSH ที่ปิดใช้งานการประมวลผลคีย์ RSA ตามแฮช SHA-1 (“ssh-rsa”) การรองรับคีย์ RSA ที่มีแฮช SHA-256 และ SHA-512 (rsa-sha2-256/512) ยังคงไม่เปลี่ยนแปลง การยุติการสนับสนุนคีย์ "ssh-rsa" เกิดจากการเพิ่มประสิทธิภาพของการโจมตีการชนกันด้วยคำนำหน้าที่กำหนด (ค่าใช้จ่ายในการเลือกการชนกันประมาณ 50 ดอลลาร์) หากต้องการทดสอบการใช้ ssh-rsa บนระบบของคุณ คุณสามารถลองเชื่อมต่อผ่าน ssh ด้วยตัวเลือก “-oHostKeyAlgorithms=-ssh-rsa”
ที่มา: opennet.ru