Před pár dny GitHub oznámil řadu změn služba související se zpřísněním protokolu Git, který se používá během operací git push a git pull prostřednictvím SSH nebo schématu „git: //“.
Je to zmíněno požadavky přes https: // nebudou ovlivněny a jakmile se změny projeví, bude vyžadována alespoň verze 7.2 OpenSSH (vydáno v roce 2016) nebo verze 0.75 od společnosti PuTTY (vydáno v květnu tohoto roku) pro připojení ke GitHubu přes SSH.
Například bude přerušena podpora pro SSH klienta CentOS 6 a Ubuntu 14.04, které již byly ukončeny.
Zdraví vás Git Systems, tým GitHub, který zajišťuje, že je váš zdrojový kód dostupný a bezpečný. Provádíme některé změny, abychom zlepšili zabezpečení protokolu při zadávání nebo extrahování dat z Gitu. Doufáme, že si těchto změn všimne jen velmi málo lidí, protože je provádíme tak hladce, jak je to jen možné, ale přesto chceme upozornit předem.
V zásadě se to uvádí změny se snížily na ukončení podpory nešifrovaných hovorů Git prostřednictvím „git: //“ a upravte požadavky na klíče SSH používané při přístupu na GitHub, aby se zlepšilo zabezpečení připojení vytvořených uživateli, protože GitHub uvádí, že způsob, jakým byl prováděn, je již zastaralý a nebezpečný.
GitHub již nebude podporovat všechny klíče DSA a starší algoritmy SSH, jako jsou šifry CBC (aes256-cbc, aes192-cbc aes128-cbc) a HMAC-SHA-1. Kromě toho jsou pro nové klíče RSA zavedeny další požadavky (podepisování pomocí SHA-1 bude zakázáno) a je implementována podpora pro hostitelské klíče ECDSA a Ed25519.
Co se mění?
Měníme, které klíče jsou kompatibilní s SSH, a odstraňujeme nešifrovaný protokol Git. Konkrétně jsme:Odebírání podpory pro všechny klíče DSA
Přidání požadavků na nově přidané klíče RSA
Odebrání některých starších algoritmů SSH (šifry HMAC-SHA-1 a CBC)
Přidejte hostitelské klíče ECDSA a Ed25519 pro SSH
Zakázat nešifrovaný protokol Git
Týká se to pouze uživatelů připojujících se přes SSH nebo git: //. Pokud vaše dálkové ovladače Git začínají https: //, nic v tomto příspěvku to neovlivní. Pokud jste uživatel SSH, přečtěte si podrobnosti a plán.Nedávno jsme přestali podporovat hesla přes HTTPS. Tyto změny SSH, i když technicky nesouvisí, jsou součástí stejného disku, aby byla data zákazníků GitHub co nejbezpečnější.
Změny budou prováděny postupně a nové klíče hostitele ECDSA a Ed25519 budou vygenerovány 14. září. Podpora pro podepisování klíčů RSA pomocí hash SHA-1 bude 2. listopadu ukončena (dříve generované klíče budou nadále fungovat).
16. listopadu bude podpora klíčů hostitelů založených na DSA ukončena. 11. ledna 2022 bude jako experiment dočasně pozastavena podpora starších algoritmů SSH a možnost přístupu bez šifrování. 15. března bude podpora starších algoritmů trvale deaktivována.
Kromě toho je uvedeno, že je třeba poznamenat, že základna kódu OpenSSH byla ve výchozím nastavení upravena tak, aby zakázala podepisování klíčů RSA pomocí hash SHA-1 („ssh-rsa“).
Podpora hašovaných podpisů SHA-256 a SHA-512 (rsa-sha2-256 / 512) zůstává beze změny. Konec podpory podpisů „ssh-rsa“ je způsoben zvýšením účinnosti kolizních útoků s danou předponou (náklady na hádání kolize se odhadují na zhruba 50 XNUMX $).
Chcete-li vyzkoušet použití ssh-rsa ve vašich systémech, můžete zkusit připojit přes ssh s volbou „-oHostKeyAlgorithms = -ssh-rsa“.
Nakonec sPokud máte zájem dozvědět se o tom více o změnách, které GitHub provádí, můžete zkontrolovat podrobnosti Na následujícím odkazu.