Pochi giorni fa GitHub ha annunciato una serie di modifiche a il servizio relativo all'inasprimento del protocollo Idiota, che viene utilizzato durante le operazioni git push e git pull tramite SSH o lo schema "git: //".
Si è detto che le richieste tramite https: // non saranno interessate e una volta che le modifiche hanno effetto, sarà richiesta almeno la versione 7.2 di OpenSSH (pubblicato nel 2016) o versione 0.75 da PuTTY (rilasciato a maggio di quest'anno) per connettersi a GitHub tramite SSH.
Ad esempio, il supporto per il client SSH di CentOS 6 e Ubuntu 14.04, che sono già stati interrotti, verrà interrotto.
Ciao da Git Systems, il team di GitHub che si assicura che il tuo codice sorgente sia disponibile e sicuro. Stiamo apportando alcune modifiche per migliorare la sicurezza del protocollo quando inserisci o estrai dati da Git. Ci auguriamo che pochissime persone noteranno questi cambiamenti, poiché li stiamo implementando nel modo più fluido possibile, ma vogliamo comunque dare un preavviso molto elevato.
Fondamentalmente si dice che le modifiche si riducono all'interruzione del supporto per le chiamate Git non crittografate tramite "git: //" e adeguare i requisiti per le chiavi SSH utilizzate durante l'accesso a GitHub, questo al fine di migliorare la sicurezza delle connessioni effettuate dagli utenti, poiché GitHub afferma che il modo in cui è stato eseguito è già obsoleto e pericoloso.
GitHub non supporterà più tutte le chiavi DSA e gli algoritmi SSH legacy, come i cifrari CBC (aes256-cbc, aes192-cbc aes128-cbc) e HMAC-SHA-1. Inoltre, vengono introdotti requisiti aggiuntivi per le nuove chiavi RSA (la firma SHA-1 sarà vietata) e viene implementato il supporto per le chiavi host ECDSA e Ed25519.
Cosa sta cambiando?
Stiamo cambiando le chiavi conformi a SSH e rimuovendo il protocollo Git non crittografato. Nello specifico siamo:Rimozione del supporto per tutte le chiavi DSA
Aggiunta di requisiti per chiavi RSA aggiunte di recente
Rimozione di alcuni algoritmi SSH legacy (cifrari HMAC-SHA-1 e CBC)
Aggiungi le chiavi host ECDSA e Ed25519 per SSH
Disabilita il protocollo Git non crittografato
Solo gli utenti che si connettono tramite SSH o git: // sono interessati. Se i tuoi telecomandi Git iniziano con https: // nulla in questo post lo influenzerà. Se sei un utente SSH, continua a leggere per i dettagli e il programma.Di recente abbiamo smesso di supportare le password su HTTPS. Queste modifiche SSH, sebbene tecnicamente non correlate, fanno parte della stessa unità per mantenere i dati dei clienti GitHub il più sicuri possibile.
Le modifiche verranno apportate gradualmente e le nuove chiavi host ECDSA e Ed25519 verranno generate il 14 settembre. Il supporto per la firma della chiave RSA utilizzando l'hash SHA-1 verrà interrotto il 2 novembre (le chiavi generate in precedenza continueranno a funzionare).
Il 16 novembre verrà interrotto il supporto per le chiavi host basate su DSA. L'11 gennaio 2022, a titolo sperimentale, il supporto per i vecchi algoritmi SSH e la possibilità di accedere senza crittografia saranno temporaneamente sospesi. Il 15 marzo, il supporto per gli algoritmi legacy verrà disattivato in modo permanente.
Inoltre, si menziona che va notato che la base del codice OpenSSH è stata modificata per impostazione predefinita per disabilitare la firma della chiave RSA utilizzando l'hash SHA-1 ("ssh-rsa").
Il supporto per le firme con hash SHA-256 e SHA-512 (rsa-sha2-256 / 512) rimane invariato. La fine del supporto per le firme "ssh-rsa" è dovuta a un aumento dell'efficacia degli attacchi di collisione con un determinato prefisso (il costo per indovinare la collisione è stimato in circa $ 50).
Per testare l'uso di ssh-rsa sui tuoi sistemi, puoi provare a connetterti tramite ssh con l'opzione "-oHostKeyAlgorithms = -ssh-rsa".
Infine sSe sei interessato a saperne di più sulle modifiche che GitHub sta apportando, puoi controllare i dettagli nel seguente link