GitHub a introduit de nouvelles exigences pour les connexions Git distantes

Il ya quelques jours GitHub a annoncé un certain nombre de changements à le service lié au durcissement du protocole Git, qui est utilisé lors des opérations git push et git pull via SSH ou le schéma "git: //".

Il est mentionné que les requêtes via https : // ne seront pas affectées et une fois les changements pris en compte, au moins la version 7.2 d'OpenSSH sera requise (sortie en 2016) ou version 0.75 de PuTTY (sorti en mai de cette année) pour se connecter à GitHub via SSH.

Par exemple, la prise en charge du client SSH de CentOS 6 et Ubuntu 14.04, qui ont déjà été interrompues, sera interrompue.

Bonjour de Git Systems, l'équipe GitHub qui s'assure que votre code source est disponible et sécurisé. Nous apportons quelques modifications pour améliorer la sécurité du protocole lorsque vous saisissez ou extrayez des données de Git. Nous espérons que très peu de personnes remarqueront ces changements, car nous les implémentons aussi facilement que possible, mais nous voulons tout de même donner un préavis très long.

Fondamentalement, il est mentionné que les changements se résument à l'arrêt de la prise en charge des appels Git non cryptés via "git: //" et ajuster les exigences pour les clés SSH utilisées lors de l'accès à GitHub, ceci afin d'améliorer la sécurité des connexions effectuées par les utilisateurs, puisque GitHub mentionne que la façon dont il était effectué est déjà obsolète et peu sûr.

GitHub ne prendra plus en charge toutes les clés DSA et les algorithmes SSH hérités, tels que les chiffrements CBC (aes256-cbc, aes192-cbc aes128-cbc) et HMAC-SHA-1. De plus, des exigences supplémentaires sont introduites pour les nouvelles clés RSA (la signature SHA-1 sera interdite) et la prise en charge des clés d'hôte ECDSA et Ed25519 est mise en œuvre.

Qu'est-ce qui change?
Nous modifions les clés compatibles SSH et supprimons le protocole Git non crypté. Concrètement nous sommes :

Suppression de la prise en charge de toutes les clés DSA
Ajout d'exigences pour les clés RSA nouvellement ajoutées
Suppression de certains algorithmes SSH hérités (chiffres HMAC-SHA-1 et CBC)
Ajouter les clés d'hôte ECDSA et Ed25519 pour SSH
Désactiver le protocole Git non crypté
Seuls les utilisateurs se connectant via SSH ou git : // sont concernés. Si vos télécommandes Git commencent par https : // rien dans cet article ne l'affectera. Si vous êtes un utilisateur SSH, lisez la suite pour les détails et le calendrier.

Nous avons récemment cessé de prendre en charge les mots de passe via HTTPS. Ces changements SSH, bien que techniquement sans rapport, font partie du même effort pour garder les données des clients GitHub aussi sécurisées que possible.

Les changements seront apportés progressivement et les nouvelles clés d'hôte ECDSA et Ed25519 seront générées le 14 septembre. La prise en charge de la signature de clé RSA à l'aide du hachage SHA-1 sera interrompue le 2 novembre (les clés précédemment générées continueront de fonctionner).

Le 16 novembre, la prise en charge des clés d'hôte basées sur DSA sera interrompue. Le 11 janvier 2022, à titre expérimental, la prise en charge des anciens algorithmes SSH et la possibilité d'accéder sans cryptage seront temporairement suspendues. Le 15 mars, la prise en charge des algorithmes hérités sera définitivement désactivée.

De plus, il est mentionné qu'il convient de noter que la base de code OpenSSH a été modifiée par défaut pour désactiver la signature de clé RSA à l'aide du hachage SHA-1 ("ssh-rsa").

La prise en charge des signatures hachées SHA-256 et SHA-512 (rsa-sha2-256 / 512) reste inchangée. La fin du support des signatures "ssh-rsa" est due à une augmentation de l'efficacité des attaques par collision avec un préfixe donné (le coût de deviner la collision est estimé à environ 50 XNUMX $).

Pour tester l'utilisation de ssh-rsa sur vos systèmes, vous pouvez essayer de vous connecter via ssh avec l'option "-oHostKeyAlgorithms = -ssh-rsa".

Enfin sSi cela vous intéresse d'en savoir plus sur les modifications apportées par GitHub, vous pouvez vérifier les détails dans le lien suivant.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.