Få dage siden GitHub annoncerede en række ændringer til tjenesten relateret til stramning af protokollen Git, som bruges under git push og git pull operationer via SSH eller "git: //" skemaet.
Det nævnes det anmodninger via https: // påvirkes ikke og når ændringerne træder i kraft, mindst version 7.2 af OpenSSH er påkrævet (udgivet i 2016) eller version PuTTY 0.75 (frigivet i maj i år) for at oprette forbindelse til GitHub via SSH.
For eksempel vil supporten til SSH -klienten i CentOS 6 og Ubuntu 14.04, som allerede er blevet afbrudt, blive brudt.
Hej fra Git Systems, GitHub -teamet, der sørger for, at din kildekode er tilgængelig og sikker. Vi foretager nogle ændringer for at forbedre protokollens sikkerhed, når du indtaster eller udtrækker data fra Git. Vi håber, at meget få mennesker vil lægge mærke til disse ændringer, da vi implementerer dem så gnidningsløst som muligt, men vi ønsker stadig at give et stort varsel på forhånd.
Grundlæggende nævnes det ændringer går ud på at ophøre med understøttelse af ukrypterede Git -opkald gennem "git: //" og juster kravene til SSH -nøglerne, der bruges ved adgang til GitHub, dette for at forbedre sikkerheden ved forbindelser foretaget af brugere, da GitHub nævner, at den måde, det blev udført på, allerede er forældet og usikre.
GitHub understøtter ikke længere alle DSA-nøgler og ældre SSH-algoritmer, f.eks. CBC-chiffer (aes256-cbc, aes192-cbc aes128-cbc) og HMAC-SHA-1. Derudover indføres yderligere krav til nye RSA-nøgler (SHA-1-signering er forbudt), og support til ECDSA- og Ed25519-værtsnøgler implementeres.
Hvad ændrer sig?
Vi ændrer, hvilke nøgler der understøttes af SSH og fjerner den ukrypterede Git -protokol. Konkret er vi:Fjernelse af support for alle DSA -nøgler
Tilføjelse af krav til nyligt tilføjede RSA -nøgler
Fjernelse af nogle ældre SSH-algoritmer (HMAC-SHA-1 og CBC-chiffer)
Tilføj ECDSA- og Ed25519 -værtsnøgler til SSH
Deaktiver ukrypteret Git -protokol
Kun brugere, der opretter forbindelse via SSH eller git: //, påvirkes. Hvis dine Git -fjernbetjeninger starter med https: // påvirker intet i dette indlæg det. Hvis du er en SSH -bruger, skal du læse videre for detaljer og tidsplan.Vi stoppede for nylig med at understøtte adgangskoder via HTTPS. Disse SSH -ændringer, selvom de ikke er teknisk relaterede, er en del af det samme drev for at holde GitHub -kundedata så sikre som muligt.
Ændringer vil blive foretaget gradvist og de nye værtsnøgler ECDSA og Ed25519 genereres den 14. september. Understøttelse af RSA-nøglesignering ved hjælp af SHA-1 hash stoppes den 2. november (tidligere genererede nøgler fortsætter med at fungere).
Den 16. november indstilles understøttelse af DSA-baserede værtsnøgler. Den 11. januar 2022, som et eksperiment, suspenderes understøttelse af ældre SSH -algoritmer og muligheden for adgang uden kryptering midlertidigt. Den 15. marts deaktiveres understøttelse af ældre algoritmer permanent.
Derudover nævnes det, at det skal bemærkes, at OpenSSH-kodebasen som standard er blevet ændret til at deaktivere RSA-nøglesignering ved hjælp af SHA-1-hash ("ssh-rsa").
Understøttelse af SHA-256 og SHA-512 (rsa-sha2-256 / 512) hash-signaturer forbliver uændret. Afslutningen på støtten til "ssh-rsa" signaturer skyldes en stigning i effektiviteten af kollisionsangreb med et givet præfiks (omkostningerne ved at gætte kollisionen anslås til omkring $ 50).
For at teste brugen af ssh-rsa på dine systemer kan du prøve at oprette forbindelse via ssh med indstillingen "-oHostKeyAlgorithms = -ssh-rsa".
Endelig sHvis du er interesseret i at vide mere om det om de ændringer, GitHub foretager, kan du kontrollere detaljerne I det følgende link.