Paar päeva tagasi GitHub teatas mitmetest muudatustest protokolli karmistamisega seotud teenus Git, mida kasutatakse git push ja git pull operatsioonide ajal SSH või "git: //" skeemi kaudu.
Seda mainitakse see ei mõjuta https: // kaudu saadetud päringuid ja kui muudatused jõustuvad, vaja on vähemalt OpenSSH versiooni 7.2 (ilmus 2016) või versioon 0.75 PuTTY -lt (avaldati selle aasta mais), et luua SSH kaudu ühendus GitHubiga.
Näiteks katkestatakse CentOS 6 ja Ubuntu 14.04 SSH kliendi tugi, mis on juba lõpetatud.
Tervitused Git Systemsilt, GitHubi meeskonnalt, kes tagab, et teie lähtekood on saadaval ja turvaline. Teeme mõningaid muudatusi, et parandada protokolli turvalisust Giti andmete sisestamisel või sealt väljavõtmisel. Loodame, et väga vähesed inimesed märkavad neid muudatusi, kuna rakendame neid võimalikult sujuvalt, kuid soovime siiski palju ette teatada.
Põhimõtteliselt mainitakse seda muudatused taanduvad krüptimata Git -kõnede toe lõpetamisele "git: //" kaudu ja kohandage GitHubile juurdepääsemisel kasutatavate SSH -võtmete nõudeid, et parandada kasutajate loodud ühenduste turvalisust, kuna GitHub mainib, et selle teostamise viis on juba aegunud ja ebaturvaline.
GitHub ei toeta enam kõiki DSA võtmeid ega pärand SSH algoritme, nagu CBC šifrid (aes256-cbc, aes192-cbc aes128-cbc) ja HMAC-SHA-1. Lisaks kehtestatakse täiendavad nõuded uutele RSA võtmetele (SHA-1 allkirjastamine on keelatud) ning rakendatakse ECDSA ja Ed25519 hostvõtmeid.
Mis muutub?
Muudame SSH -ga ühilduvaid võtmeid ja eemaldame krüptimata Git -protokolli. Täpsemalt oleme:Kõigi DSA -võtmete toe eemaldamine
Nõuete lisamine äsja lisatud RSA -võtmetele
Mõnede pärand SSH algoritmide (HMAC-SHA-1 ja CBC šifrid) eemaldamine
Lisage SSH jaoks ECDSA ja Ed25519 hostivõtmed
Keela krüptimata Git -protokoll
See mõjutab ainult SSH või git: // kaudu ühendavaid kasutajaid. Kui teie Giti kaugjuhtimispuldid algavad tähega https: //, ei mõjuta miski selles postituses seda. Kui olete SSH -kasutaja, lugege üksikasju ja ajakava.Lõpetasime hiljuti paroolide toetamise HTTPS -i kaudu. Need SSH muudatused, kuigi need ei ole tehniliselt seotud, on osa samast draivist, et hoida GitHubi kliendiandmed võimalikult turvalised.
Muudatusi tehakse järk -järgult ning uued hostivõtmed ECDSA ja Ed25519 genereeritakse 14. septembril. SHA-1 räsi kasutades RSA võtmete allkirjastamise tugi lõpetatakse 2. novembril (varem loodud võtmed töötavad edasi).
16. novembril lõpetatakse DSA-põhiste hostvõtmete tugi. 11. jaanuaril 2022 peatatakse eksperimendina ajutiselt vanemate SSH -algoritmide tugi ja võimalus krüpteerimata juurde pääseda. 15. märtsil keelatakse pärandalgoritmide tugi jäädavalt.
Lisaks mainitakse, et tuleb märkida, et OpenSSH koodibaasi on vaikimisi muudetud, et keelata RSA võtme allkirjastamine SHA-1 räsi ("ssh-rsa") abil.
SHA-256 ja SHA-512 (rsa-sha2-256 / 512) räsitud allkirjade tugi jääb muutumatuks. "Ssh-rsa" allkirjade toetamise lõppemine on tingitud antud eesliitega kokkupõrke rünnakute tõhususe suurenemisest (kokkupõrke äraarvamise hind on hinnanguliselt umbes 50 XNUMX dollarit).
Ssh-rsa kasutamise testimiseks oma süsteemides võite proovida luua ühenduse ssh kaudu valikuga "-oHostKeyAlgorithms = -ssh-rsa".
Lõpuks sKui olete huvitatud sellest rohkem teada saama GitHubi muudatuste kohta saate üksikasju vaadata Järgmisel lingil.