Prije nekoliko dana GitHub je najavio brojne promjene usluga koja se odnosi na pooštravanje protokola ići, koji se koristi za vrijeme git push i git pull operacija putem SSH -a ili "git: //" sheme.
To se spominje zahtjevi putem https: // neće biti promijenjeni i kada promjene stupe na snagu, bit će potrebna barem verzija 7.2 OpenSSH -a (objavljeno 2016.) ili verzija 0.75 od PuTTY (objavljeno u maju ove godine) za povezivanje na GitHub putem SSH -a.
Na primjer, podrška za SSH klijent CentOS 6 i Ubuntu 14.04, koji su već ukinuti, bit će prekinuta.
Pozdrav iz Git Systems -a, GitHub tima koji se brine da vaš izvorni kod bude dostupan i siguran. Radimo neke izmjene kako bismo poboljšali sigurnost protokola kada unosite ili izdvajate podatke iz Gita. Nadamo se da će vrlo mali broj ljudi primijetiti ove promjene jer ih provodimo što je moguće glatko, ali ipak želimo unaprijed najaviti.
U osnovi se spominje da promene se svode na prekid podrške za nešifrovane Git pozive putem "git: //" i prilagodite zahtjeve za SSH ključeve koji se koriste pri pristupu GitHubu, ovo kako bi se poboljšala sigurnost povezivanja korisnika, budući da GitHub spominje da je način na koji se to izvodi već zastario i nesigurno.
GitHub više neće podržavati sve DSA ključeve i naslijeđene SSH algoritme, kao što su CBC šifre (aes256-cbc, aes192-cbc aes128-cbc) i HMAC-SHA-1. Dodatno, uvode se dodatni zahtjevi za nove RSA ključeve (potpisivanje sa SHA-1 će biti zabranjeno) i implementirana je podrška za ECDSA i Ed25519 ključeve domaćina.
Šta se mijenja?
Mijenjamo koji su ključevi kompatibilni sa SSH -om i uklanjamo nešifrirani Git protokol. Konkretno mi smo:Uklanjanje podrške za sve ključeve DSA
Dodavanje zahtjeva za novo dodane RSA ključeve
Uklanjanje nekih naslijeđenih SSH algoritama (HMAC-SHA-1 i CBC šifre)
Dodajte ključeve domaćina ECDSA i Ed25519 za SSH
Onemogućite nešifrirani Git protokol
To utječe samo na korisnike koji se povezuju putem SSH -a ili git: //. Ako vaši Git daljinski upravljači počnu s https: // ništa u ovom postu neće utjecati na to. Ako ste korisnik SSH -a, pročitajte detalje i raspored.Nedavno smo prestali podržavati lozinke putem HTTPS -a. Ove promjene SSH -a, iako tehnički nepovezane, dio su istog pogona kako bi GitHub -ovi podaci o korisnicima bili što sigurniji.
Promjene će se unositi postepeno a novi ključevi domaćina ECDSA i Ed25519 bit će generirani 14. rujna. Podrška za potpisivanje RSA ključeva pomoću SHA-1 raspršivanja bit će prekinuta 2. novembra (prethodno generirani ključevi nastavit će raditi).
16. novembra podrška za ključeve domaćina zasnovane na DSA-u će biti prekinuta. 11. januara 2022. godine, kao eksperiment, podrška za starije SSH algoritme i mogućnost pristupa bez šifriranja bit će privremeno obustavljena. 15. marta podrška za naslijeđene algoritme bit će trajno onemogućena.
Osim toga, napominje se da treba napomenuti da je baza OpenSSH koda prema zadanim postavkama izmijenjena kako bi se onemogućilo potpisivanje RSA ključeva pomoću SHA-1 hasha ("ssh-rsa").
Podrška za SHA-256 i SHA-512 (rsa-sha2-256 / 512) heširane potpise ostaje nepromijenjena. Kraj podrške za potpise "ssh-rsa" posljedica je povećanja efikasnosti napada sudara s datim prefiksom (troškovi pogađanja sudara procjenjuju se na oko 50 USD).
Da biste testirali upotrebu ssh-rsa na vašim sistemima, možete pokušati povezati putem ssh-a s opcijom "-oHostKeyAlgorithms = -ssh-rsa".
Konačno sAko vas zanima više o tome o promjenama koje GitHub vrši, možete provjeriti detalje Na sledećem linku.