قبل بضعة أيام أعلن GitHub عن عدد من التغييرات على الخدمة المتعلقة بإحكام البروتوكول بوابة، والتي تُستخدم أثناء عمليات git push و git pull عبر SSH أو مخطط "git: //".
يذكر أن الطلبات عبر https: // لن تتأثر وبمجرد أن تدخل التغييرات حيز التنفيذ ، سيكون مطلوبًا على الأقل الإصدار 7.2 من OpenSSH (تم إصداره عام 2016) أو إصدار 0.75 من PuTTY (تم إصداره في مايو من هذا العام) للاتصال بـ GitHub عبر SSH.
على سبيل المثال ، سيتم تعطيل دعم عميل SSH الخاص بـ CentOS 6 و Ubuntu 14.04 ، والذي تم إيقافه بالفعل.
مرحبًا من Git Systems ، فريق GitHub الذي يتأكد من أن كود المصدر الخاص بك متاح وآمن. نجري بعض التغييرات لتحسين أمان البروتوكول عند إدخال البيانات أو استخراجها من Git. نأمل أن يلاحظ عدد قليل جدًا من الأشخاص هذه التغييرات ، حيث إننا ننفذها بأكبر قدر ممكن من السلاسة ، ولكننا ما زلنا نرغب في تقديم إشعار مسبق.
في الأساس ذكر ذلك تتلخص التغييرات في إيقاف الدعم لمكالمات Git غير المشفرة من خلال "git: //" وضبط متطلبات مفاتيح SSH المستخدمة عند الوصول إلى GitHub ، وذلك من أجل تحسين أمان الاتصالات التي يجريها المستخدمون ، نظرًا لأن GitHub يذكر أن الطريقة التي تم بها تنفيذ ذلك قد عفا عليها الزمن بالفعل و غير آمن.
لن يدعم GitHub بعد الآن جميع مفاتيح DSA وخوارزميات SSH القديمة ، مثل CBC ciphers (aes256-cbc و aes192-cbc aes128-cbc) و HMAC-SHA-1. بالإضافة إلى ذلك ، يتم تقديم متطلبات إضافية لمفاتيح RSA الجديدة (سيتم حظر توقيع SHA-1) ويتم تنفيذ دعم مفاتيح مضيف ECDSA و Ed25519.
ما الذي يتغير؟
نحن نغير المفاتيح المتوافقة مع SSH ونزيل بروتوكول Git غير المشفر. نحن على وجه التحديد:إزالة الدعم لجميع مفاتيح DSA
إضافة متطلبات لمفاتيح RSA المضافة حديثًا
إزالة بعض خوارزميات SSH القديمة (HMAC-SHA-1 و CBC ciphers)
أضف مفاتيح مضيف ECDSA و Ed25519 لـ SSH
تعطيل بروتوكول Git غير المشفر
يتأثر فقط المستخدمون المتصلون عبر SSH أو git: //. إذا بدأت أجهزة التحكم عن بُعد الخاصة بـ Git بـ https: // فلن يؤثر ذلك في هذا المنشور. إذا كنت من مستخدمي SSH ، فتابع القراءة للحصول على التفاصيل والجدول الزمني.لقد توقفنا مؤخرًا عن دعم كلمات المرور عبر HTTPS. تعد تغييرات SSH هذه ، على الرغم من عدم ارتباطها من الناحية الفنية ، جزءًا من نفس محرك الأقراص للحفاظ على أمان بيانات عملاء GitHub قدر الإمكان.
سيتم إجراء التغييرات بشكل تدريجي وسيتم إنشاء مفاتيح المضيف الجديدة ECDSA و Ed25519 في 14 سبتمبر. سيتم إيقاف دعم توقيع مفتاح RSA باستخدام تجزئة SHA-1 في 2 نوفمبر (ستستمر المفاتيح التي تم إنشاؤها مسبقًا في العمل).
في 16 نوفمبر ، سيتم إيقاف دعم مفاتيح المضيف المستندة إلى DSA. في 11 يناير 2022 ، كتجربة ، سيتم تعليق دعم خوارزميات SSH القديمة والقدرة على الوصول بدون تشفير مؤقتًا. في 15 مارس ، سيتم تعطيل دعم الخوارزميات القديمة بشكل دائم.
بالإضافة إلى ذلك ، تجدر الإشارة إلى أنه تم تعديل قاعدة رمز OpenSSH افتراضيًا لتعطيل توقيع مفتاح RSA باستخدام تجزئة SHA-1 ("ssh-rsa").
يظل دعم التواقيع المجزأة SHA-256 و SHA-512 (rsa-sha2-256 / 512) دون تغيير. يعود سبب انتهاء دعم توقيعات "ssh-rsa" إلى زيادة فعالية هجمات التصادم ببادئة معينة (تقدر تكلفة تخمين التصادم بحوالي 50 دولار).
لاختبار استخدام ssh-rsa على أنظمتك ، يمكنك محاولة الاتصال عبر ssh باستخدام الخيار "-oHostKeyAlgorithms = -ssh-rsa".
أخيرا sإذا كنت مهتمًا بمعرفة المزيد عنها حول التغييرات التي يجريها GitHub ، يمكنك التحقق من التفاصيل في الرابط التالي.