GitHub introduciu novos requisitos para conexións Git remotas

Hai poucos días GitHub anunciou unha serie de cambios en o servizo relacionado co endurecemento do protocolo ir, que se usa durante as operacións git push e git pull a través de SSH ou o esquema "git: //".

Menciónase que as solicitudes vía https: // non se verán afectadas e unha vez que os cambios entren en vigor, requirirase polo menos a versión 7.2 de OpenSSH (lanzado en 2016) ou versión 0.75 de MANTIA (lanzado en maio deste ano) para conectarse a GitHub a través de SSH.

Por exemplo, o soporte para o cliente SSH de CentOS 6 e Ubuntu 14.04, que xa se deixou de funcionar, romperá.

Ola de Git Systems, o equipo de GitHub que se asegura de que o teu código fonte está dispoñible e seguro. Estamos a facer algúns cambios para mellorar a seguridade do protocolo cando introduce ou extrae datos de Git. Agardamos que moi poucas persoas noten estes cambios, xa que os estamos a implementar do xeito máis sinxelo posible, pero aínda así queremos avisar moito antes.

Basicamente menciónase que os cambios redúcense a deixar de soportar as chamadas Git sen cifrar a través de "git: //" e axuste os requisitos para as claves SSH empregadas ao acceder a GitHub, para mellorar a seguridade das conexións realizadas polos usuarios, xa que GitHub menciona que a forma en que se estaba a levar a cabo xa está obsoleta e inseguro.

GitHub deixará de ser compatible con todas as claves DSA e algoritmos SSH herdados, como os cifrados CBC (aes256-cbc, aes192-cbc aes128-cbc) e HMAC-SHA-1. Adicionalmente, introdúcense requisitos adicionais para as novas claves RSA (prohibirase asinar SHA-1) e implementarase o soporte para as claves de host ECDSA e Ed25519.

Que está a cambiar?
Estamos cambiando que claves son compatibles con SSH e eliminamos o protocolo Git sen cifrar. En concreto somos:

Eliminando soporte para todas as claves DSA
Engadindo requisitos para as claves RSA recén engadidas
Eliminación dalgúns algoritmos SSH herdados (cifrados HMAC-SHA-1 e CBC)
Engade claves de host ECDSA e Ed25519 para SSH
Desactivar o protocolo Git sen cifrar
Só os usuarios que se conectan a través de SSH ou git: // están afectados. Se os teus mandos a distancia Git comezan con https: // nada nesta publicación o afectará. Se es usuario de SSH, segue a ler para obter máis información e axenda.

Recentemente deixamos de admitir contrasinais a través de HTTPS. Estes cambios SSH, aínda que técnicamente non están relacionados, forman parte da mesma unidade para manter os datos de clientes de GitHub o máis seguros posibles.

Os cambios faranse gradualmente e as novas claves de host ECDSA e Ed25519 xeraranse o 14 de setembro. A asistencia á sinatura de chaves RSA mediante hash SHA-1 deixará de funcionar o 2 de novembro (as claves xeradas anteriormente seguirán funcionando).

O 16 de novembro deixarase de soportar as claves de host baseadas en DSA. O 11 de xaneiro de 2022, como experimento, suspenderase temporalmente o soporte para algoritmos SSH máis antigos e a posibilidade de acceder sen cifrado. O 15 de marzo, a compatibilidade con algoritmos herdados desactivarase permanentemente.

Ademais, menciónase que cómpre ter en conta que a base de código OpenSSH foi modificada por defecto para desactivar a sinatura de chave RSA usando o hash SHA-1 ("ssh-rsa").

A compatibilidade para as sinaturas hash SHA-256 e SHA-512 (rsa-sha2-256 / 512) permanece inalterada. O final do soporte para as sinaturas "ssh-rsa" débese a un aumento da eficacia dos ataques de colisión cun prefixo dado (o custo de adiviñar a colisión estímase nuns 50 dólares).

Para probar o uso de ssh-rsa nos seus sistemas, pode tentar conectarse a través de ssh coa opción "-oHostKeyAlgorithms = -ssh-rsa".

Finalmente sSe estás interesado en saber máis sobre el sobre os cambios que está a facer GitHub, podes consultar os detalles Na seguinte ligazón.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.