Το GitHub εισήγαγε νέες απαιτήσεις για απομακρυσμένες συνδέσεις Git

πριν ΛΙΓΕΣ μερες Το GitHub ανακοίνωσε μια σειρά από αλλαγές στο η υπηρεσία που σχετίζεται με τη σύσφιξη του πρωτοκόλλου Git, το οποίο χρησιμοποιείται κατά τη διάρκεια λειτουργιών git push και git pull μέσω SSH ή του σχήματος "git: //".

Αναφέρεται ότι αιτήματα μέσω https: // δεν θα επηρεαστούν και μόλις εφαρμοστούν οι αλλαγές, θα απαιτείται τουλάχιστον η έκδοση 7.2 του OpenSSH (κυκλοφόρησε το 2016) ή έκδοση 0.75 από PuTTY (κυκλοφόρησε τον Μάιο του τρέχοντος έτους) για σύνδεση στο GitHub μέσω SSH.

Για παράδειγμα, η υποστήριξη για τον πελάτη SSH των CentOS 6 και Ubuntu 14.04, οι οποίοι έχουν ήδη διακοπεί, θα διακοπεί.

Γεια από την Git Systems, την ομάδα του GitHub που διασφαλίζει ότι ο πηγαίος κώδικας είναι διαθέσιμος και ασφαλής. Κάνουμε κάποιες αλλαγές για να βελτιώσουμε την ασφάλεια του πρωτοκόλλου όταν εισάγετε ή εξάγετε δεδομένα από το Git. Ελπίζουμε ότι πολύ λίγοι άνθρωποι θα παρατηρήσουν αυτές τις αλλαγές, καθώς τις εφαρμόζουμε όσο το δυνατόν πιο ομαλά, αλλά θέλουμε ακόμα να ενημερώσουμε εκ των προτέρων.

Βασικά αναφέρεται ότι οι αλλαγές καταλήγουν σε διακοπή της υποστήριξης για μη κρυπτογραφημένες κλήσεις Git μέσω του "git: //" και προσαρμόστε τις απαιτήσεις για τα κλειδιά SSH που χρησιμοποιούνται κατά την πρόσβαση στο GitHub, αυτό προκειμένου να βελτιωθεί η ασφάλεια των συνδέσεων που γίνονται από τους χρήστες, αφού το GitHub αναφέρει ότι ο τρόπος με τον οποίο πραγματοποιήθηκε είναι ήδη παρωχημένος και επισφαλής.

Το GitHub δεν θα υποστηρίζει πλέον όλα τα κλειδιά DSA και τους παλαιότερους αλγορίθμους SSH, όπως κρυπτογράφηση CBC (aes256-cbc, aes192-cbc aes128-cbc) και HMAC-SHA-1. Επιπλέον, εισάγονται πρόσθετες απαιτήσεις για τα νέα κλειδιά RSA (απαγορεύεται η υπογραφή με SHA-1) και εφαρμόζεται υποστήριξη για τα κλειδιά κεντρικού υπολογιστή ECDSA και Ed25519.

Τι αλλάζει;
Αλλάζουμε ποια κλειδιά είναι συμβατά με SSH και αφαιρούμε το μη κρυπτογραφημένο πρωτόκολλο Git. Συγκεκριμένα είμαστε:

Κατάργηση υποστήριξης για όλα τα κλειδιά DSA
Προσθήκη απαιτήσεων για νέα προστιθέμενα κλειδιά RSA
Κατάργηση ορισμένων παλαιών αλγορίθμων SSH (κρυπτογράφηση HMAC-SHA-1 και CBC)
Προσθέστε κλειδιά κεντρικού υπολογιστή ECDSA και Ed25519 για SSH
Απενεργοποιήστε το μη κρυπτογραφημένο πρωτόκολλο Git
Μόνο οι χρήστες που συνδέονται μέσω SSH ή git: // επηρεάζονται. Εάν τα τηλεχειριστήρια Git σας ξεκινούν με https: // τίποτα σε αυτήν την ανάρτηση δεν θα το επηρεάσει. Εάν είστε χρήστης SSH, διαβάστε παρακάτω για λεπτομέρειες και πρόγραμμα.

Πρόσφατα σταματήσαμε να υποστηρίζουμε κωδικούς πρόσβασης μέσω HTTPS. Αυτές οι αλλαγές SSH, ενώ δεν σχετίζονται τεχνικά, αποτελούν μέρος της ίδιας προσπάθειας για να διατηρήσετε τα δεδομένα πελατών GitHub όσο το δυνατόν ασφαλέστερα.

Οι αλλαγές θα γίνουν σταδιακά και τα νέα κλειδιά κεντρικού υπολογιστή ECDSA και Ed25519 θα δημιουργηθούν στις 14 Σεπτεμβρίου. Η υποστήριξη για την υπογραφή κλειδιού RSA χρησιμοποιώντας τον κατακερματισμό SHA-1 θα διακοπεί στις 2 Νοεμβρίου (τα κλειδιά που δημιουργήθηκαν προηγουμένως θα συνεχίσουν να λειτουργούν).

Στις 16 Νοεμβρίου, η υποστήριξη για κλειδιά κεντρικού υπολογιστή που βασίζονται σε DSA θα διακοπεί. Στις 11 Ιανουαρίου 2022, ως πείραμα, η υποστήριξη παλαιότερων αλγορίθμων SSH και η δυνατότητα πρόσβασης χωρίς κρυπτογράφηση θα ανασταλούν προσωρινά. Στις 15 Μαρτίου, η υποστήριξη για αλγόριθμους παλαιού τύπου θα απενεργοποιηθεί οριστικά.

Επιπλέον, πρέπει να σημειωθεί ότι πρέπει να σημειωθεί ότι η βάση κώδικα OpenSSH έχει τροποποιηθεί από προεπιλογή για να απενεργοποιήσει την υπογραφή κλειδιού RSA χρησιμοποιώντας τον κατακερματισμό SHA-1 ("ssh-rsa").

Η υποστήριξη για κατακερματισμένες υπογραφές SHA-256 και SHA-512 (rsa-sha2-256 / 512) παραμένει αμετάβλητη. Το τέλος της υποστήριξης για υπογραφές "ssh-rsa" οφείλεται στην αύξηση της αποτελεσματικότητας των επιθέσεων σύγκρουσης με ένα συγκεκριμένο πρόθεμα (το κόστος της εικασίας της σύγκρουσης εκτιμάται σε περίπου $ 50).

Για να ελέγξετε τη χρήση του ssh-rsa στα συστήματά σας, μπορείτε να δοκιμάσετε να συνδεθείτε μέσω ssh με την επιλογή "-oHostKeyAlgorithms = -ssh-rsa".

Τέλος sΑν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό σχετικά με τις αλλαγές που κάνει το GitHub, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.


Γίνε ο πρώτος που θα σχολιάσει

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.