Beberapa hari yang lalu GitHub mengumumkan sejumlah perubahan kepada perkhidmatan yang berkaitan dengan pengetatan protokol Git, yang digunakan semasa operasi git push dan git pull melalui SSH atau skema "git: //".
Disebutkan bahawa permintaan melalui https: // tidak akan terjejas dan setelah perubahan berlaku, sekurang-kurangnya diperlukan versi 7.2 OpenSSH (dikeluarkan pada tahun 2016) atau versi 0.75 dari PuTTY (dikeluarkan pada bulan Mei tahun ini) untuk menyambung ke GitHub melalui SSH.
Sebagai contoh, sokongan untuk klien SSH CentOS 6 dan Ubuntu 14.04, yang telah dihentikan, akan rosak.
Helo dari Git Systems, pasukan GitHub yang memastikan kod sumber anda tersedia dan selamat. Kami membuat beberapa perubahan untuk meningkatkan keselamatan protokol semasa anda memasukkan atau mengekstrak data dari Git. Kami berharap sangat sedikit orang yang memperhatikan perubahan ini, kerana kami menerapkannya dengan lancar, tetapi kami masih ingin memberi banyak pemberitahuan terlebih dahulu.
Pada dasarnya disebut bahawa perubahan berubah menjadi penghentian sokongan untuk panggilan Git yang tidak disulitkan melalui "git: //" dan sesuaikan keperluan untuk kunci SSH yang digunakan ketika mengakses GitHub, ini untuk meningkatkan keselamatan sambungan yang dibuat oleh pengguna, kerana GitHub menyebutkan bahawa cara ia dijalankan sudah usang dan tidak selamat.
GitHub tidak lagi menyokong semua kunci DSA dan algoritma SSH lama, seperti ciphers CBC (aes256-cbc, aes192-cbc aes128-cbc) dan HMAC-SHA-1. Selain itu, syarat tambahan diperkenalkan untuk kunci RSA baru (penandatanganan SHA-1 akan dilarang) dan sokongan untuk kunci hos ECDSA dan Ed25519 dilaksanakan.
Apa yang berubah?
Kami mengubah kunci mana yang sesuai dengan SSH dan membuang protokol Git yang tidak disulitkan. Khususnya kami:Mengeluarkan sokongan untuk semua kunci DSA
Menambah Keperluan untuk Kekunci RSA yang Baru Ditambah
Penghapusan beberapa algoritma SSH yang lama (HMAC-SHA-1 dan cipher CBC)
Tambahkan kunci hos ECDSA dan Ed25519 untuk SSH
Lumpuhkan protokol Git yang tidak disulitkan
Hanya pengguna yang tersambung melalui SSH atau git: // yang terjejas. Sekiranya remote Git anda bermula dengan https: // tidak ada apa-apa dalam siaran ini yang akan mempengaruhinya. Sekiranya anda pengguna SSH, baca terus untuk mengetahui butiran dan jadualnya.Baru-baru ini kami berhenti menyokong kata laluan melalui HTTPS. Perubahan SSH ini, walaupun secara teknikal tidak berkaitan, adalah sebahagian daripada pemacu yang sama untuk memastikan data pelanggan GitHub seaman mungkin.
Perubahan akan dilakukan secara beransur-ansur dan kunci hos baru ECDSA dan Ed25519 akan dihasilkan pada 14 September. Sokongan untuk menandatangani kunci RSA menggunakan hash SHA-1 akan dihentikan pada 2 November (kunci yang dihasilkan sebelumnya akan terus berfungsi).
Pada 16 November, sokongan untuk kunci hos berasaskan DSA akan dihentikan. Pada 11 Januari 2022, sebagai eksperimen, sokongan untuk algoritma SSH yang lebih tua dan kemampuan untuk mengakses tanpa penyulitan akan ditangguhkan buat sementara waktu. Pada 15 Mac, sokongan untuk algoritma lama akan dilumpuhkan secara kekal.
Di samping itu, disebutkan bahawa perlu diperhatikan bahawa pangkalan kod OpenSSH telah diubah secara lalai untuk menonaktifkan penandatanganan kunci RSA menggunakan hash SHA-1 ("ssh-rsa").
Sokongan untuk tandatangan hashed SHA-256 dan SHA-512 (rsa-sha2-256 / 512) tidak berubah. Akhir sokongan untuk tandatangan "ssh-rsa" disebabkan oleh peningkatan keberkesanan serangan perlanggaran dengan awalan tertentu (kos meneka perlanggaran dianggarkan sekitar $ 50).
Untuk menguji penggunaan ssh-rsa pada sistem anda, anda boleh mencuba menghubungkan melalui ssh dengan pilihan "-oHostKeyAlgorithms = -ssh-rsa".
Akhirnya sSekiranya anda berminat untuk mengetahui lebih lanjut mengenainya mengenai perubahan yang dilakukan oleh GitHub, anda boleh menyemak perinciannya Dalam pautan berikut.