数日前 GitHubは、 プロトコルの強化に関連するサービス Gitの、SSHまたは「git://」スキームを介したgitpushおよびgitpull操作中に使用されます。
と言われています https経由のリクエスト://影響を受けません 変更が有効になると、 少なくともバージョン7.2のOpenSSHが必要になります (2016年にリリース)またはバージョン PuTTYから0.75 (今年のXNUMX月にリリース)SSH経由でGitHubに接続します。
たとえば、すでに廃止されているCentOS6およびUbuntu14.04のSSHクライアントのサポートは終了します。
ソースコードが利用可能で安全であることを確認するGitHubチームであるGitSystemsからこんにちは。 Gitにデータを入力または抽出する際のプロトコルのセキュリティを向上させるために、いくつかの変更を加えています。 これらの変更は可能な限りスムーズに実施しているため、ごく少数の方にご理解いただければ幸いですが、それでも事前にお知らせしたいと思います。
基本的には 変更は、暗号化されていないGit呼び出しのサポートを終了することになります 「git://」を使用して、GitHubにアクセスするときに使用されるSSHキーの要件を調整します。これは、ユーザーによる接続のセキュリティを向上させるためです。GitHubは、実行方法がすでに廃止されていると述べているためです。安全ではありません。
GitHubは、すべてのDSAキーと、CBC暗号(aes256-cbc、aes192-cbc aes128-cbc)やHMAC-SHA-1などのレガシーSSHアルゴリズムをサポートしなくなります。 さらに、新しいRSAキーに追加の要件が導入され(SHA-1署名は禁止されます)、ECDSAおよびEd25519ホストキーのサポートが実装されます。
何が変わったのですか?
SSHに準拠するキーを変更し、暗号化されていないGitプロトコルを削除します。 具体的には次のとおりです。すべてのDSAキーのサポートを削除する
新しく追加されたRSAキーの要件の追加
一部のレガシーSSHアルゴリズム(HMAC-SHA-1およびCBC暗号)の削除
SSH用のECDSAおよびEd25519ホストキーを追加します
暗号化されていないGitプロトコルを無効にする
SSHまたはgit経由で接続しているユーザーのみ://影響を受けます。 Gitリモートがhttpsで始まる場合://この投稿の内容は影響しません。 SSHユーザーの場合は、詳細とスケジュールを読んでください。最近、HTTPSを介したパスワードのサポートを停止しました。 これらのSSHの変更は、技術的には無関係ですが、GitHubの顧客データを可能な限り安全に保つための同じドライブの一部です。
徐々に変更されます 新しいホストキーECDSAとEd25519は14月1日に生成されます。 SHA-2ハッシュを使用したRSAキー署名のサポートは、XNUMX月XNUMX日に廃止されます(以前に生成されたキーは引き続き機能します)。
16月XNUMX日、DSAベースのホストキーのサポートは終了します。 11年2022月15日、実験として、古いSSHアルゴリズムのサポートと暗号化なしでアクセスする機能が一時的に停止されます。 XNUMX月XNUMX日、レガシーアルゴリズムのサポートは完全に無効になります。
さらに、OpenSSHコードベースは、SHA-1ハッシュ(「ssh-rsa」)を使用したRSAキー署名を無効にするようにデフォルトで変更されていることに注意してください。
SHA-256およびSHA-512(rsa-sha2-256 / 512)ハッシュ署名のサポートは変更されていません。 「ssh-rsa」シグニチャのサポートが終了したのは、特定のプレフィックスを使用した衝突攻撃の有効性が向上したためです(衝突を推測するコストは約50ドルと見積もられています)。
システムでのssh-rsaの使用をテストするには、オプション「-oHostKeyAlgorithms = -ssh-rsa」を使用してssh経由で接続してみてください。
最後にsあなたがそれについてもっと知りたいなら GitHubが行っている変更については、詳細を確認できます 次のリンクで。