Ilang araw na ang nakakalipas Inihayag ng GitHub ang isang bilang ng mga pagbabago sa ang serbisyo na nauugnay sa paghihigpit ng protokol pumunta, na ginagamit sa panahon ng git push at git pull na operasyon sa pamamagitan ng SSH o ang "git: //" scheme.
Nabanggit na ang mga kahilingan sa pamamagitan ng https: // ay hindi maaapektuhan at kapag nagkabisa ang mga pagbabago, hindi bababa sa bersyon 7.2 ng OpenSSH ang kinakailangan (inilabas noong 2016) o bersyon 0.75 mula sa PuTTY (inilabas noong Mayo ng taong ito) upang kumonekta sa GitHub sa pamamagitan ng SSH.
Halimbawa, ang suporta para sa SSH client ng CentOS 6 at Ubuntu 14.04, na naihinto na, ay masisira.
Kamusta mula sa Git Systems, ang koponan ng GitHub na tinitiyak na ang iyong source code ay magagamit at ligtas. Gumagawa kami ng ilang mga pagbabago upang mapabuti ang seguridad ng protocol kapag nagpasok ka o kumuha ng data mula sa Git. Inaasahan namin na napakakaunting mga tao ang mapapansin ang mga pagbabagong ito, dahil ipinapatupad namin ang mga ito nang maayos hangga't maaari, ngunit nais pa rin naming magbigay ng paunang paunawa.
Talaga nabanggit na binabago ang mga pagbabago sa pagtigil ng suporta para sa hindi naka-encrypt na mga tawag sa Git sa pamamagitan ng "git: //" at ayusin ang mga kinakailangan para sa mga SSH key na ginamit kapag ina-access ang GitHub, ito upang mapabuti ang seguridad ng mga koneksyon na ginawa ng mga gumagamit, dahil binanggit ng GitHub na ang paraan kung paano ito isinasagawa ay lipas na at hindi ligtas
Hindi na susuportahan ng GitHub ang lahat ng mga key ng DSA at legacy na mga algorithm ng SSH, tulad ng mga CBC cipher (aes256-cbc, aes192-cbc aes128-cbc) at HMAC-SHA-1. Bilang karagdagan, ipinakilala ang mga karagdagang kinakailangan para sa mga bagong key ng RSA (ipinagbabawal ang pag-sign sa SHA-1) at ang suporta para sa mga ECDSA at Ed25519 host key ay ipinatupad.
Ano ang pagbabago?
Binabago namin kung aling mga susi ang sumusunod sa SSH at inaalis ang hindi naka-encrypt na Git na protokol. Partikular na kami ay:Inaalis ang suporta para sa lahat ng mga key ng DSA
Pagdaragdag ng Mga Kinakailangan para sa Mga Bagong Naidagdag na RSA Keys
Pag-aalis ng ilang mga legacy SSH algorithm (HMAC-SHA-1 at CBC ciphers)
Magdagdag ng mga key ng host ng ECDSA at Ed25519 para sa SSH
Huwag paganahin ang hindi naka-encrypt na Git na protocol
Ang mga gumagamit lamang na kumokonekta sa pamamagitan ng SSH o git: // ang apektado. Kung ang iyong mga remit na Git ay nagsisimula sa https: // wala sa post na ito ang makakaapekto dito. Kung ikaw ay isang gumagamit ng SSH, basahin ang para sa mga detalye at iskedyul.Pinahinto namin kamakailan ang pagsuporta sa mga password sa HTTPS. Ang mga pagbabago sa SSH na ito, habang hindi kaugnay sa teknikal, ay bahagi ng parehong drive upang mapanatili ang data ng kostumer ng GitHub bilang ligtas hangga't maaari.
Gagawin ang mga pagbabago at ang bagong host key na ECDSA at Ed25519 ay mabubuo sa Setyembre 14. Ang suporta para sa pag-sign ng RSA key gamit ang SHA-1 hash ay hindi na ipagpapatuloy sa Nobyembre 2 (ang mga naunang nabuong key ay magpapatuloy na gumana).
Sa Nobyembre 16, ang suporta para sa mga host key na nakabatay sa DSA ay hindi na ipagpapatuloy. Sa Enero 11, 2022, bilang isang eksperimento, pansamantalang masuspinde ang suporta para sa mas matandang mga algorithm ng SSH at ang kakayahang mag-access nang walang pag-encrypt. Sa Marso 15, permanenteng hindi pagaganahin ang suporta para sa mga legacy algorithm.
Bilang karagdagan, nabanggit na dapat pansinin na ang base ng OpenSSH code ay binago bilang default upang hindi paganahin ang pag-sign ng RSA key gamit ang SHA-1 hash ("ssh-rsa").
Ang suporta para sa SHA-256 at SHA-512 (rsa-sha2-256 / 512) na mga pag-sign na hash ay mananatiling hindi nagbabago. Ang pagtatapos ng suporta para sa "ssh-rsa" na lagda ay dahil sa isang pagtaas sa pagiging epektibo ng mga pag-atake ng banggaan sa isang naibigay na unlapi (ang halaga ng paghula ng banggaan ay tinatayang humigit-kumulang na $ 50).
Upang subukan ang paggamit ng ssh-rsa sa iyong mga system, maaari mong subukang kumonekta sa pamamagitan ng ssh na may pagpipiliang "-oHostKeyAlgorithms = -ssh-rsa".
Panghuli sKung interesado kang malaman ang tungkol dito tungkol sa mga pagbabagong ginagawa ni GitHub, maaari mong suriin ang mga detalye Sa sumusunod na link.