Beberapa hari yang lalu GitHub mengumumkan sejumlah perubahan pada layanan terkait pengetatan protokol pergi, yang digunakan selama operasi git push dan git pull melalui SSH atau skema "git: //".
Disebutkan itu permintaan melalui https: // tidak akan terpengaruh dan setelah perubahan diterapkan, setidaknya OpenSSH versi 7.2 akan diperlukan (dirilis pada 2016) atau versi 0.75 dari Putty (dirilis pada Mei tahun ini) untuk terhubung ke GitHub melalui SSH.
Misalnya, dukungan untuk klien SSH CentOS 6 dan Ubuntu 14.04, yang telah dihentikan, akan rusak.
Halo dari Git Systems, tim GitHub yang memastikan kode sumber Anda tersedia dan aman. Kami membuat beberapa perubahan untuk meningkatkan keamanan protokol saat Anda memasukkan atau mengekstrak data dari Git. Kami berharap hanya sedikit orang yang akan melihat perubahan ini, karena kami menerapkannya semulus mungkin, tetapi kami masih ingin memberikan banyak pemberitahuan sebelumnya.
Pada dasarnya disebutkan bahwa perubahan bermuara pada penghentian dukungan untuk panggilan Git yang tidak terenkripsi melalui "git: //" dan sesuaikan persyaratan untuk kunci SSH yang digunakan saat mengakses GitHub, ini untuk meningkatkan keamanan koneksi yang dibuat oleh pengguna, karena GitHub menyebutkan bahwa cara yang dilakukan sudah usang dan tidak aman.
GitHub tidak akan lagi mendukung semua kunci DSA dan algoritme SSH lama, seperti sandi CBC (aes256-cbc, aes192-cbc aes128-cbc) dan HMAC-SHA-1. Selain itu, persyaratan tambahan diperkenalkan untuk kunci RSA baru (penandatanganan SHA-1 akan dilarang) dan dukungan untuk kunci host ECDSA dan Ed25519 diterapkan.
Apa yang berubah?
Kami mengubah kunci mana yang sesuai dengan SSH dan menghapus protokol Git yang tidak terenkripsi. Secara khusus kami adalah:Menghapus dukungan untuk semua kunci DSA
Menambahkan Persyaratan untuk Kunci RSA yang Baru Ditambahkan
Penghapusan beberapa algoritma SSH lama (HMAC-SHA-1 dan CBC cipher)
Tambahkan kunci host ECDSA dan Ed25519 untuk SSH
Nonaktifkan protokol Git yang tidak terenkripsi
Hanya pengguna yang terhubung melalui SSH atau git: // yang terpengaruh. Jika remote Git Anda dimulai dengan https: // tidak ada apa pun di postingan ini yang akan memengaruhinya. Jika Anda adalah pengguna SSH, baca terus untuk detail dan jadwalnya.Kami baru-baru ini berhenti mendukung kata sandi melalui HTTPS. Perubahan SSH ini, meskipun secara teknis tidak terkait, merupakan bagian dari upaya yang sama untuk menjaga data pelanggan GitHub seaman mungkin.
Perubahan akan dilakukan secara bertahap dan kunci host baru ECDSA dan Ed25519 akan dibuat pada 14 September. Dukungan untuk penandatanganan kunci RSA menggunakan hash SHA-1 akan dihentikan pada 2 November (kunci yang dibuat sebelumnya akan terus berfungsi).
Pada 16 November, dukungan untuk kunci host berbasis DSA akan dihentikan. Pada 11 Januari 2022, sebagai percobaan, dukungan untuk algoritme SSH yang lebih lama dan kemampuan untuk mengakses tanpa enkripsi akan ditangguhkan untuk sementara. Pada tanggal 15 Maret, dukungan untuk algoritme lama akan dinonaktifkan secara permanen.
Selain itu, disebutkan bahwa perlu dicatat bahwa basis kode OpenSSH telah dimodifikasi secara default untuk menonaktifkan penandatanganan kunci RSA menggunakan hash SHA-1 ("ssh-rsa").
Dukungan untuk tanda tangan hash SHA-256 dan SHA-512 (rsa-sha2-256 / 512) tetap tidak berubah. Berakhirnya dukungan untuk tanda tangan "ssh-rsa" adalah karena peningkatan efektivitas serangan tabrakan dengan awalan yang diberikan (biaya menebak tabrakan diperkirakan sekitar $ 50).
Untuk menguji penggunaan ssh-rsa pada sistem Anda, Anda dapat mencoba menghubungkan melalui ssh dengan opsi "-oHostKeyAlgorithms = -ssh-rsa".
Akhirnya sJika Anda tertarik untuk mengetahui lebih banyak tentangnya tentang perubahan yang dilakukan GitHub, Anda dapat memeriksa detailnya Di tautan berikut.