Prije nekoliko dana GitHub je najavio niz promjena u usluga vezana za pooštravanje protokola ići, koji se koristi tijekom git push i git pull operacija putem SSH -a ili sheme "git: //".
Spominje se da zahtjevi putem https: // neće biti promijenjeni i kad promjene stupe na snagu, bit će potrebna barem verzija 7.2 OpenSSH -a (objavljeno 2016.) ili verzija 0.75 od PuTTY (objavljeno u svibnju ove godine) za povezivanje s GitHubom putem SSH -a.
Na primjer, podrška za SSH klijent CentOS 6 i Ubuntu 14.04, koji su već ukinuti, bit će prekinuta.
Pozdrav iz Git Systems, tima GitHub -a koji se brine o tome da vaš izvorni kod bude dostupan i siguran. Unosimo neke izmjene kako bismo poboljšali sigurnost protokola kada unosite ili izvlačite podatke iz Gita. Nadamo se da će vrlo mali broj ljudi primijetiti ove promjene jer ih provodimo što je moguće glatko, no ipak želimo unaprijed obavijestiti.
U osnovi se spominje da promjene se svode na prekid podrške za nešifrirane Git pozive putem "git: //" i prilagoditi zahtjeve za SSH ključeve koji se koriste pri pristupu GitHubu, to radi poboljšanja sigurnosti povezivanja korisnika, budući da GitHub spominje da je način na koji se to izvodi već zastario i nesigurno.
GitHub više neće podržavati sve DSA ključeve i naslijeđene SSH algoritme, kao što su CBC šifre (aes256-cbc, aes192-cbc aes128-cbc) i HMAC-SHA-1. Dodatno, uvode se dodatni zahtjevi za nove RSA ključeve (potpisivanje SHA-1 bit će zabranjeno) i implementirana je podrška za ECDSA i Ed25519 ključeve domaćina.
Što se mijenja?
Mijenjamo koji su ključevi usklađeni sa SSH -om i uklanjamo nešifrirani Git protokol. Konkretno mi smo:Uklanjanje podrške za sve ključeve DSA
Dodavanje zahtjeva za novo dodane RSA ključeve
Uklanjanje nekih naslijeđenih SSH algoritama (HMAC-SHA-1 i CBC šifre)
Dodajte ključeve domaćina ECDSA i Ed25519 za SSH
Onemogućite nešifrirani Git protokol
To utječe samo na korisnike koji se povezuju putem SSH -a ili git: //. Ako vaši Git daljinski upravljači počnu s https: // ništa u ovom postu neće utjecati na to. Ako ste korisnik SSH -a, pročitajte detalje i raspored.Nedavno smo prestali podržavati lozinke putem HTTPS -a. Ove promjene SSH -a, iako tehnički nepovezane, dio su istog pogona kako bi se GitHubovi korisnički podaci zaštitili što je moguće sigurnije.
Promjene će se unositi postupno a novi ključevi domaćina ECDSA i Ed25519 bit će generirani 14. rujna. Podrška za potpisivanje RSA ključeva pomoću SHA-1 raspršivanja bit će prekinuta 2. studenog (prethodno generirani ključevi nastavit će raditi).
16. studenog prestaje podrška za ključeve domaćina zasnovane na DSA-u. 11. siječnja 2022., kao eksperiment, privremeno će biti obustavljena podrška za starije SSH algoritme i mogućnost pristupa bez šifriranja. 15. ožujka podrška za naslijeđene algoritme bit će trajno onemogućena.
Osim toga, spominje se kako treba napomenuti da je baza OpenSSH koda prema zadanim postavkama izmijenjena kako bi se onemogućilo potpisivanje RSA ključa pomoću SHA-1 raspršivača ("ssh-rsa").
Podrška za raspršene potpise SHA-256 i SHA-512 (rsa-sha2-256 / 512) ostaje nepromijenjena. Kraj podrške za potpise "ssh-rsa" posljedica je povećanja učinkovitosti napada sudara s datim prefiksom (troškovi pogađanja sudara procjenjuju se na oko 50 USD).
Da biste testirali upotrebu ssh-rsa na vašim sustavima, možete se pokušati povezati putem ssh-a s opcijom "-oHostKeyAlgorithms = -ssh-rsa".
Napokon sAko vas zanima više o tome o promjenama koje GitHub unosi možete provjeriti pojedinosti U sljedećem linku.