Vor ein paar Tagen GitHub hat eine Reihe von Änderungen angekündigt dienstbezogene Protokollhärtung Git, das bei Git-Push- und Git-Pull-Vorgängen über SSH oder das Schema „git://“ verwendet wird.
Es wird das erwähnt Anfragen über https:// sind davon nicht betroffen und sobald die Änderungen wirksam werden, Sie benötigen mindestens Version 7.2 von OpenSSH (im Jahr 2016 eingeführt) oder Version 0.75 g Spachtelmasse (veröffentlicht im Mai dieses Jahres), um über SSH eine Verbindung zu GitHub herzustellen.
Beispielsweise wird die Unterstützung für den SSH-Client in CentOS 6 und Ubuntu 14.04, die bereits eingestellt wurden, unterbrochen.
Hallo von Git Systems, dem Team von GitHub, das dafür sorgt, dass Ihr Quellcode verfügbar und sicher ist. Wir nehmen einige Änderungen vor, um die Sicherheit des Protokolls beim Abrufen von Daten in oder aus Git zu verbessern. Wir gehen davon aus, dass nur sehr wenige Menschen diese Änderungen bemerken werden, da wir sie so reibungslos wie möglich einführen, möchten aber trotzdem rechtzeitig darauf aufmerksam machen.
Grundsätzlich wird darauf hingewiesen Die Änderungen laufen darauf hinaus, die Unterstützung für unverschlüsselte Git-Aufrufe einzustellen durch „git://“ und passen Sie die Anforderungen an die SSH-Schlüssel an, die beim Zugriff auf GitHub verwendet werden, um die Sicherheit der von Benutzern hergestellten Verbindungen zu verbessern, da GitHub erwähnt, dass die Art und Weise, wie dies ausgeführt wurde, bereits veraltet ist und nicht sehr sicher.
GitHub wird die Unterstützung aller DSA-Schlüssel und älteren SSH-Algorithmen wie CBC (aes256-cbc, aes192-cbc aes128-cbc) und HMAC-SHA-1-Chiffren einstellen. Darüber hinaus werden zusätzliche Anforderungen für neue RSA-Schlüssel eingeführt (das Signieren mit SHA-1 wird verboten) und die Unterstützung für ECDSA- und Ed25519-Hostschlüssel implementiert.
Was ändert sich?
Wir ändern, welche Schlüssel von SSH unterstützt werden, und entfernen das unverschlüsselte Git-Protokoll. Im Einzelnen sind wir:Entfernung der Unterstützung für alle DSA-Schlüssel
Anforderungen für neu hinzugefügte RSA-Schlüssel hinzufügen
Entfernung einiger älterer SSH-Algorithmen (HMAC-SHA-1- und CBC-Chiffren)
Fügen Sie ECDSA- und Ed25519-Hostschlüssel für SSH hinzu
Deaktivieren Sie das unverschlüsselte Git-Protokoll
Betroffen sind nur Benutzer, die eine Verbindung über SSH oder git:// herstellen. Wenn Ihre Git-Remotes mit https:// beginnen, hat dieser Beitrag keine Auswirkungen darauf. Wenn Sie ein SSH-Benutzer sind, lesen Sie weiter, um die Details und den Zeitplan zu erfahren.Wir haben vor Kurzem die Unterstützung von Passwörtern über HTTPS eingestellt. Diese SSH-Änderungen haben zwar keinen technischen Zusammenhang, sind aber Teil desselben Bestrebens, GitHub-Kundendaten so sicher wie möglich zu halten.
Änderungen werden schrittweise vorgenommen und die neuen ECDSA- und Ed25519-Hostschlüssel werden am 14. September generiert. Die Unterstützung für die RSA-Schlüsselsignierung mithilfe von SHA-1-Hashing wird am 2. November eingestellt (zuvor generierte Schlüssel funktionieren weiterhin).
Am 16. November wird die Unterstützung für DSA-basierte Hostschlüssel eingestellt. Am 11. Januar 2022 wird versuchsweise die Unterstützung alter SSH-Algorithmen und die Möglichkeit, sich ohne Verschlüsselung anzumelden, vorübergehend eingestellt. Am 15. März wird die Unterstützung für ältere Algorithmen dauerhaft deaktiviert.
Darüber hinaus wird darauf hingewiesen, dass die OpenSSH-Codebasis standardmäßig geändert wurde, um das Signieren von RSA-Schlüsseln mithilfe des SHA-1-Hashs („ssh-rsa“) zu deaktivieren.
Die Unterstützung für Signaturen mit SHA-256- und SHA-512-Hashes (rsa-sha2-256/512) bleibt unverändert. Das Ende der Unterstützung für SSH-RSA-Signaturen ist auf eine Steigerung der Wirksamkeit von Kollisionsangriffen mit einem bestimmten Präfix zurückzuführen (die Kosten für das Erraten der Kollision werden auf etwa 50 US-Dollar geschätzt).
Um die Verwendung von ssh-rsa auf Ihren Systemen zu testen, können Sie versuchen, eine Verbindung über ssh mit der Option „-oHostKeyAlgorithms=-ssh-rsa“ herzustellen.
Endlich sWenn Sie mehr darüber erfahren möchten Über die Änderungen, die GitHub vornimmt, können Sie die Details überprüfen im folgenden Link.