Pak ditë më parë GitHub njoftoi një numër ndryshimesh në shërbimi që lidhet me shtrëngimin e protokollit git, e cila përdoret gjatë operacioneve të shtytjes dhe tërheqjes së git përmes SSH ose skemës "git: //".
Përmendet se kërkesat përmes https: // nuk do të preken dhe pasi ndryshimet të hyjnë në fuqi, të paktën versioni 7.2 i OpenSSH do të kërkohet (lëshuar në vitin 2016) ose version 0.75 nga PuTTY (lëshuar në maj të këtij viti) për t'u lidhur me GitHub përmes SSH.
Për shembull, mbështetja për klientin SSH të CentOS 6 dhe Ubuntu 14.04, të cilat tashmë janë ndërprerë, do të prishet.
Përshëndetje nga Git Systems, ekipi i GitHub që sigurohet që kodi juaj burimor është i disponueshëm dhe i sigurt. Ne po bëjmë disa ndryshime për të përmirësuar sigurinë e protokollit kur futni ose nxirrni të dhëna nga Git. Shpresojmë që shumë pak njerëz do t'i vënë re këto ndryshime, pasi ne po i zbatojmë ato sa më mirë që të jetë e mundur, por ne ende duam të bëjmë një njoftim paraprak.
Në thelb përmendet se ndryshimet zbresin në ndërprerjen e mbështetjes për thirrjet e pakriptuara të Git përmes "git: //" dhe rregulloni kërkesat për çelësat SSH të përdorur kur hyni në GitHub, kjo për të përmirësuar sigurinë e lidhjeve të bëra nga përdoruesit, pasi GitHub përmend se mënyra në të cilën po kryhej është tashmë e vjetëruar dhe i pasigurt
GitHub nuk do të mbështesë më të gjithë çelësat DSA dhe algoritmet SSH të trashëguara, të tilla si shifrat CBC (aes256-cbc, aes192-cbc aes128-cbc) dhe HMAC-SHA-1. Për më tepër, paraqiten kërkesa shtesë për çelësat e rinj RSA (nënshkrimi SHA-1 do të ndalohet) dhe zbatohet mbështetja për çelësat pritës ECDSA dhe Ed25519.
Çfarë po ndryshon?
Ne po ndryshojmë se cilët çelësa janë në përputhje me SSH dhe po heqim protokollin e pakriptuar të Git. Konkretisht ne jemi:Heqja e mbështetjes për të gjithë çelësat DSA
Shtimi i Kërkesave për Çelësat RSA të Shtuar Rishtazi
Heqja e disa algoritmeve të trashëguara SSH (shifrat HMAC-SHA-1 dhe CBC)
Shtoni çelësat e hostit ECDSA dhe Ed25519 për SSH
Çaktivizo protokollin e pakriptuar Git
Vetëm përdoruesit që lidhen përmes SSH ose git: // preken. Nëse telekomandat tuaja Git fillojnë me https: // asgjë në këtë postim nuk do të ndikojë në të. Nëse jeni një përdorues SSH, lexoni për detajet dhe orarin.Kohët e fundit kemi ndaluar mbështetjen e fjalëkalimeve përmes HTTPS. Këto ndryshime SSH, edhe pse teknikisht nuk kanë lidhje, janë pjesë e së njëjtës përpjekje për të mbajtur të dhënat e klientëve të GitHub sa më të sigurt të jetë e mundur.
Ndryshimet do të bëhen gradualisht dhe çelësat e rinj pritës ECDSA dhe Ed25519 do të gjenerohen më 14 shtator. Mbështetja për nënshkrimin e çelësit RSA duke përdorur hash SHA-1 do të ndërpritet më 2 nëntor (çelësat e gjeneruar më parë do të vazhdojnë të punojnë).
Më 16 nëntor, mbështetja për çelësat e hostit të bazuar në DSA do të ndërpritet. Më 11 janar 2022, si një eksperiment, mbështetja për algoritmet më të vjetra SSH dhe aftësia për të hyrë pa kriptim do të pezullohen përkohësisht. Më 15 mars, mbështetja për algoritmet e trashëguara do të çaktivizohet përgjithmonë.
Përveç kësaj, përmendet se duhet të theksohet se baza e kodit OpenSSH është modifikuar si parazgjedhje për të çaktivizuar nënshkrimin e çelësit RSA duke përdorur hash SHA-1 ("ssh-rsa").
Mbështetja për SHA-256 dhe SHA-512 (rsa-sha2-256 / 512) nënshkrimet e hasha mbetet e pandryshuar. Përfundimi i mbështetjes për nënshkrimet "ssh-rsa" është për shkak të një rritje të efektivitetit të sulmeve të përplasjes me një parashtesë të caktuar (kostoja e supozimit të përplasjes vlerësohet në rreth 50 dollarë).
Për të testuar përdorimin e ssh-rsa në sistemet tuaja, mund të provoni të lidheni përmes ssh me opsionin "-oHostKeyAlgorithms = -ssh-rsa".
Më në fund sNëse jeni të interesuar të dini më shumë për të në lidhje me ndryshimet që po bën GitHub, mund të kontrolloni detajet Në lidhjen vijuese.