Pár napja A GitHub számos változtatást jelentett be a protokoll szigorításával kapcsolatos szolgáltatás megy, amelyet a git push és git pull műveletek során használnak SSH -n vagy a "git: //" sémán keresztül.
Azt emlegetik a https: // -n keresztül érkező kéréseket nem érinti és amint a változások életbe lépnek, legalább az OpenSSH 7.2 -es verziójára lesz szükség (2016 -ban jelent meg) vagy verziója PuTTY 0.75 (ez év májusában jelent meg), hogy SSH -n keresztül csatlakozzon a GitHubhoz.
Például megszűnik a CentOS 6 és az Ubuntu 14.04 SSH ügyfél támogatása, amelyek már megszűntek.
Üdvözli a Git Systems, a GitHub csapata, amely biztosítja, hogy a forráskód elérhető és biztonságos legyen. Néhány változtatást végzünk a protokoll biztonságának javítása érdekében, amikor adatokat ír be vagy nyer ki a Git -ből. Reméljük, hogy nagyon kevesen veszik észre ezeket a változásokat, mivel azokat a lehető leggördülékenyebben hajtjuk végre, de mégis szeretnénk előzetesen értesíteni.
Alapvetően azt emlegetik a változások a titkosítatlan Git -hívások támogatásának megszüntetéséhez vezetnek a "git: //" -on keresztül, és módosítsa a GitHub elérésekor használt SSH -kulcsokra vonatkozó követelményeket, hogy javítsa a felhasználók által létrehozott kapcsolatok biztonságát, mivel a GitHub megemlíti, hogy a végrehajtás módja már elavult, és nem biztonságos.
A GitHub már nem támogatja az összes DSA-kulcsot és a korábbi SSH-algoritmusokat, például a CBC-titkosításokat (aes256-cbc, aes192-cbc aes128-cbc) és a HMAC-SHA-1-et. Ezenkívül további követelményeket vezetnek be az új RSA kulcsokra (az SHA-1 aláírása tilos lesz), és megvalósítják az ECDSA és az Ed25519 gazda kulcsokat.
Mi változik?
Módosítjuk, hogy mely kulcsokat támogatja az SSH, és eltávolítjuk a titkosítatlan Git protokollt. Konkrétan mi vagyunk:Az összes DSA -kulcs támogatásának eltávolítása
Követelmények hozzáadása az újonnan hozzáadott RSA kulcsokhoz
Néhány korábbi SSH algoritmus eltávolítása (HMAC-SHA-1 és CBC titkosítás)
Adjon hozzá ECDSA és Ed25519 gazda kulcsokat az SSH -hoz
A titkosítatlan Git protokoll letiltása
Csak azokat a felhasználókat érinti, akik SSH vagy git: // kapcsolaton keresztül csatlakoznak. Ha a Git távirányítói https: // karakterekkel kezdődnek, ebben a bejegyzésben semmi sem befolyásolja. Ha SSH felhasználó, olvassa el a részleteket és az ütemezést.Nemrég abbahagytuk a jelszavak támogatását HTTPS protokollon keresztül. Ezek az SSH -módosítások, bár technikailag nem kapcsolódnak egymáshoz, ugyanannak a meghajtónak a részét képezik, hogy a GitHub -ügyféladatok a lehető legbiztonságosabbak maradjanak.
A változtatásokat fokozatosan hajtják végre és az új gazdakulcsok, az ECDSA és az Ed25519 szeptember 14 -én jönnek létre. Az RSA kulcs aláírásának támogatása SHA-1 hash használatával november 2-án megszűnik (a korábban generált kulcsok tovább működnek).
November 16-án megszűnik a DSA-alapú gazdakulcsok támogatása. 11. január 2022 -én kísérletként ideiglenesen felfüggesztjük a régebbi SSH -algoritmusok támogatását és a titkosítás nélküli hozzáférést. Március 15 -én a régi algoritmusok támogatása véglegesen le lesz tiltva.
Ezenkívül megemlítendő, hogy meg kell jegyezni, hogy az OpenSSH kódbázis alapértelmezés szerint módosítva lett letiltva az RSA kulcs aláírásáról az SHA-1 hash ("ssh-rsa") használatával.
Az SHA-256 és az SHA-512 (rsa-sha2-256 / 512) kivonatolt aláírások támogatása változatlan marad. Az "ssh-rsa" aláírások támogatásának befejezése az adott előtaggal rendelkező ütközési támadások hatékonyságának növekedése miatt következik be (az ütközés tippelésének költsége körülbelül 50 XNUMX dollár).
Ha tesztelni szeretné az ssh-rsa használatát a rendszerein, próbálja meg csatlakozni az ssh-n keresztül a "-oHostKeyAlgorithms = -ssh-rsa" opcióval.
Végül sHa érdekli, hogy többet tudjon róla a GitHub által végrehajtott változtatásokról ellenőrizheti a részleteket A következő linken.