GitHub SSH yoki “git://” sxemasi orqali git push va git pull operatsiyalari paytida foydalaniladigan Git protokoli xavfsizligini kuchaytirish bilan bogʻliq xizmatga oʻzgarishlarni eʼlon qildi (https:// orqali soʻrovlar oʻzgarishlarga taʼsir qilmaydi). O'zgarishlar kuchga kirgach, SSH orqali GitHub-ga ulanish uchun kamida OpenSSH 7.2 (2016 yilda chiqarilgan) yoki PuTTY 0.75 (shu yilning may oyida chiqarilgan) kerak bo'ladi. Masalan, endi qo'llab-quvvatlanmaydigan CentOS 6 va Ubuntu 14.04 ga kiritilgan SSH mijozi bilan moslik buziladi.
O'zgarishlar Git-ga shifrlanmagan qo'ng'iroqlarni qo'llab-quvvatlashni olib tashlashni ("git://" orqali) va GitHub-ga kirishda ishlatiladigan SSH kalitlariga qo'shimcha talablarni o'z ichiga oladi. GitHub barcha DSA kalitlari va CBC shifrlari (aes256-cbc, aes192-cbc aes128-cbc) va HMAC-SHA-1 kabi eski SSH algoritmlarini qo‘llab-quvvatlashni to‘xtatadi. Bundan tashqari, yangi RSA kalitlari uchun qo'shimcha talablar joriy etilmoqda (SHA-1 dan foydalanish taqiqlanadi) va ECDSA va Ed25519 xost kalitlarini qo'llab-quvvatlash amalga oshirilmoqda.
O'zgarishlar bosqichma-bosqich kiritiladi. 14 sentyabr kuni yangi ECDSA va Ed25519 xost kalitlari yaratiladi. 2-noyabrda yangi SHA-1 asosidagi RSA kalitlarini qo‘llab-quvvatlash to‘xtatiladi (ilgari yaratilgan kalitlar ishlashda davom etadi). 16-noyabr kuni DSA algoritmiga asoslangan xost kalitlarini qo‘llab-quvvatlash to‘xtatiladi. 11-yil 2022-yanvarda tajriba sifatida eski SSH algoritmlarini qo‘llab-quvvatlash va shifrlashsiz kirish imkoniyati vaqtincha to‘xtatiladi. 15-mart kuni eski algoritmlarni qo‘llab-quvvatlash butunlay o‘chirib qo‘yiladi.
Bundan tashqari, OpenSSH kod bazasiga standart o'zgartirish kiritilganligini ta'kidlashimiz mumkin, bu SHA-1 xesh ("ssh-rsa") asosida RSA kalitlarini qayta ishlashni o'chirib qo'yadi. SHA-256 va SHA-512 xeshlari (rsa-sha2-256/512) bilan RSA kalitlarini qo'llab-quvvatlash o'zgarishsiz qoladi. "Ssh-rsa" tugmachalarini qo'llab-quvvatlashni to'xtatish ma'lum bir prefiks bilan to'qnashuv hujumlarining samaradorligi oshishi bilan bog'liq (to'qnashuvni tanlash narxi taxminan 50 ming dollarga baholanadi). Tizimingizda ssh-rsa-dan foydalanishni sinab ko'rish uchun siz “-oHostKeyAlgorithms=-ssh-rsa” opsiyasi bilan ssh orqali ulanishga urinib ko'rishingiz mumkin.
Manba: opennet.ru