GitHub het nuwe vereistes vir afgeleë Git -verbindings ingestel

N paar dae gelede GitHub het 'n aantal veranderinge aan die diens wat verband hou met die verskerping van die protokol gaan, wat gebruik word tydens git push en git pull operasies via SSH of die "git: //" skema.

Daar word genoem dat versoeke via https: // sal nie geraak word nie en sodra die veranderinge in werking tree, ten minste weergawe 7.2 van OpenSSH sal vereis word (vrygestel in 2016) of weergawe 0.75 van PuTTY (vrygestel in Mei vanjaar) om via SSH aan te sluit by GitHub.

Ondersteuning vir die SSH -kliënt van CentOS 6 en Ubuntu 14.04, wat reeds gestaak is, word byvoorbeeld verbreek.

Hallo van Git Systems, die GitHub -span wat seker maak dat u bronkode beskikbaar en veilig is. Ons maak 'n paar veranderinge om die veiligheid van die protokol te verbeter wanneer u data van Git invoer of onttrek. Ons hoop dat baie min mense hierdie veranderinge sal sien, aangesien ons dit so glad as moontlik implementeer, maar ons wil steeds baie vooraf kennis gee.

Dit word basies genoem dat veranderinge kom neer op die staking van ondersteuning vir ongekodeerde Git -oproepe deur "git: //" aan te pas en die vereistes aan te pas vir die SSH -sleutels wat gebruik word tydens toegang tot GitHub, om die veiligheid van verbindings deur gebruikers te verbeter, aangesien GitHub noem dat die manier waarop dit uitgevoer is, reeds verouderd is en onveilig.

GitHub ondersteun nie meer alle DSA-sleutels en verouderde SSH-algoritmes nie, soos CBC-sifers (aes256-cbc, aes192-cbc aes128-cbc) en HMAC-SHA-1. Bykomend word addisionele vereistes ingestel vir nuwe RSA-sleutels (ondertekening van SHA-1 is verbied) en ondersteuning vir ECDSA- en Ed25519-sleutelsleutels word geïmplementeer.

Wat verander?
Ons verander watter sleutels aan SSH voldoen en verwyder die ongekodeerde Git -protokol. Ons is spesifiek:

Verwydering van ondersteuning vir alle DSA -sleutels
Voeg vereistes by vir nuut bygevoegde RSA -sleutels
Verwydering van 'n paar ou SSH-algoritmes (HMAC-SHA-1 en CBC-sifers)
Voeg ECDSA en Ed25519 gasheersleutels by vir SSH
Skakel die ongekodeerde Git -protokol uit
Slegs gebruikers wat via SSH of git: // verbind, word geraak. As u Git -afstandbeheer begin met https: // sal niks in hierdie pos dit beïnvloed nie. As u 'n SSH -gebruiker is, lees verder vir die besonderhede en skedule.

Ons het onlangs opgehou om wagwoorde oor HTTPS te ondersteun. Alhoewel hierdie tegnies nie verwant is nie, is hierdie SSH -veranderinge deel van dieselfde strewe om GitHub -kliëntedata so veilig as moontlik te hou.

Veranderinge sal geleidelik aangebring word en die nuwe gasheersleutels ECDSA en Ed25519 word op 14 September gegenereer. Ondersteuning vir die ondertekening van RSA-sleutels met behulp van SHA-1-hash word op 2 November gestaak (voorheen gegenereerde sleutels sal aanhou werk).

Op 16 November word ondersteuning vir DSA-gebaseerde gasheersleutels gestaak. Op 11 Januarie 2022, as 'n eksperiment, word ondersteuning vir ouer SSH -algoritmes en toegang tot sonder kodering tydelik opgeskort. Op 15 Maart word ondersteuning vir ou algoritmes permanent uitgeskakel.

Daarbenewens word daar genoem dat daarop gelet moet word dat die OpenSSH-kodebasis standaard gewysig is om die ondertekening van RSA-sleutels met behulp van die SHA-1-hash ("ssh-rsa") uit te skakel.

Ondersteuning vir SHA-256 en SHA-512 (rsa-sha2-256 / 512) getekende handtekeninge bly onveranderd. Die einde van ondersteuning vir "ssh-rsa" handtekeninge is te danke aan 'n toename in die doeltreffendheid van botsingsaanvalle met 'n gegewe voorvoegsel (die raaiskoste word geraam op ongeveer $ 50).

Om die gebruik van ssh-rsa op u stelsels te toets, kan u probeer om via ssh aan te sluit met die opsie "-oHostKeyAlgorithms = -ssh-rsa".

Uiteindelik sAs u belangstel om meer daaroor te weet oor die veranderinge wat GitHub aanbring, kan u die besonderhede nagaan In die volgende skakel.


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

Wees die eerste om te kommentaar lewer

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.