Преди няколко дни GitHub обяви редица промени в услугата, свързана със затягане на протокола отивам, който се използва по време на git push и git pull операции чрез SSH или схемата "git: //".
Споменава се, че заявките чрез https: // няма да бъдат засегнати и след като промените влязат в сила, ще е необходима поне версия 7.2 на OpenSSH (издаден през 2016 г.) или версия 0.75 от PuTTY (издаден през май тази година) за свързване с GitHub чрез SSH.
Например, поддръжката на SSH клиента на CentOS 6 и Ubuntu 14.04, които вече са преустановени, ще бъде прекъсната.
Здравейте от Git Systems, екипът на GitHub, който гарантира, че вашият изходен код е достъпен и защитен. Правим някои промени, за да подобрим сигурността на протокола, когато въвеждате или извличате данни от Git. Надяваме се, че много малко хора ще забележат тези промени, тъй като ги прилагаме възможно най -гладко, но все пак искаме да уведомим много предварително.
По принцип се споменава, че промените се свеждат до прекратяване на поддръжката за некриптирани Git повиквания чрез "git: //" и коригирайте изискванията за SSH ключовете, използвани при достъп до GitHub, това с цел подобряване на сигурността на връзките, направени от потребителите, тъй като GitHub споменава, че начинът, по който се осъществява, вече е остарял и опасно.
GitHub вече няма да поддържа всички ключове DSA и наследени SSH алгоритми, като CBC шифри (aes256-cbc, aes192-cbc aes128-cbc) и HMAC-SHA-1. Освен това са въведени допълнителни изисквания за новите RSA ключове (подписването на SHA-1 ще бъде забранено) и е внедрена поддръжка за ECDSA и Ed25519 хост ключове.
Какво се променя?
Променяме кои ключове са съвместими с SSH и премахваме нешифрования Git протокол. По -конкретно ние сме:Премахване на поддръжката за всички ключове DSA
Добавяне на изисквания за новодобавени RSA ключове
Премахване на някои наследствени SSH алгоритми (HMAC-SHA-1 и CBC шифри)
Добавете хостови ключове ECDSA и Ed25519 за SSH
Деактивирайте некриптиран Git протокол
Засегнати са само потребители, свързващи се чрез SSH или git: //. Ако вашите дистанционни управления на Git започват с https: // нищо в тази публикация няма да повлияе на това. Ако сте потребител на SSH, прочетете за подробности и график.Наскоро спряхме да поддържаме пароли през HTTPS. Тези SSH промени, макар и технически несвързани, са част от едно и също устройство, за да запазят данните на клиентите на GitHub възможно най -защитени.
Промените ще се правят постепенно и новите хост ключове ECDSA и Ed25519 ще бъдат генерирани на 14 септември. Поддръжката за подписване на RSA ключ с помощта на SHA-1 хеш ще бъде преустановена на 2 ноември (генерираните по-рано ключове ще продължат да работят).
На 16 ноември поддръжката на ключове на хост, базирана на DSA, ще бъде преустановена. На 11 януари 2022 г. като експеримент поддръжката на по -стари алгоритми на SSH и възможността за достъп без криптиране временно ще бъде спряна. На 15 март поддръжката на стари алгоритми ще бъде деактивирана за постоянно.
Освен това се споменава, че трябва да се отбележи, че кодовата база на OpenSSH е променена по подразбиране, за да забрани подписването на RSA ключ с помощта на хеш SHA-1 ("ssh-rsa").
Поддръжката на SHA-256 и SHA-512 (rsa-sha2-256 / 512) хеширани подписи остава непроменена. Краят на поддръжката за „ssh-rsa“ подписи се дължи на увеличаване на ефективността на атаките за сблъсък с даден префикс (цената за отгатване на сблъсъка се оценява на около 50 XNUMX долара).
За да тествате използването на ssh-rsa във вашите системи, можете да опитате да се свържете чрез ssh с опцията "-oHostKeyAlgorithms = -ssh-rsa".
Накрая sАко се интересувате да научите повече за него относно промените, които GitHub прави, можете да проверите подробностите В следващия линк.