몇일 전에 GitHub는 몇 가지 변경 사항을 발표했습니다. 프로토콜 강화와 관련된 서비스 힘내, SSH 또는 "git: //" 체계를 통해 git push 및 git pull 작업 중에 사용됩니다.
언급된다 https: //를 통한 요청은 영향을 받지 않습니다. 변경 사항이 적용되면 OpenSSH 버전 7.2 이상이 필요합니다. (2016년 출시) 또는 버전 PuTTY에서 0.75 (올해 XNUMX월 출시) SSH를 통해 GitHub에 연결합니다.
예를 들어 이미 중단된 CentOS 6 및 Ubuntu 14.04의 SSH 클라이언트에 대한 지원이 중단됩니다.
소스 코드가 사용 가능하고 안전한지 확인하는 GitHub 팀인 Git Systems의 안녕하세요. Git에서 데이터를 입력하거나 추출할 때 프로토콜의 보안을 개선하기 위해 몇 가지를 변경하고 있습니다. 우리는 가능한 한 원활하게 구현하기 때문에 이러한 변경 사항을 극소수의 사람들이 알아차리기를 희망하지만 여전히 많은 사전 공지를 하고 싶습니다.
기본적으로 언급된다. 변경 사항은 암호화되지 않은 Git 호출에 대한 지원 중단으로 귀결됩니다. "git: //"를 통해 GitHub에 액세스할 때 사용되는 SSH 키에 대한 요구 사항을 조정합니다. 이는 GitHub에서 수행되는 방식이 이미 구식이며 위험한.
GitHub는 CBC 암호(aes256-cbc, aes192-cbc aes128-cbc) 및 HMAC-SHA-1과 같은 모든 DSA 키 및 레거시 SSH 알고리즘을 더 이상 지원하지 않습니다. 또한 새 RSA 키(SHA-1 서명 금지)에 대한 추가 요구 사항이 도입되고 ECDSA 및 Ed25519 호스트 키에 대한 지원이 구현됩니다.
무엇이 바뀌나요?
SSH와 호환되는 키를 변경하고 암호화되지 않은 Git 프로토콜을 제거합니다. 구체적으로 우리는:모든 DSA 키에 대한 지원 제거
새로 추가된 RSA 키에 대한 요구 사항 추가
일부 레거시 SSH 알고리즘(HMAC-SHA-1 및 CBC 암호) 제거
SSH용 ECDSA 및 Ed25519 호스트 키 추가
암호화되지 않은 Git 프로토콜 비활성화
SSH 또는 git: //를 통해 연결하는 사용자만 영향을 받습니다. Git 리모컨이 https: //로 시작하는 경우 이 게시물의 아무 것도 영향을 미치지 않습니다. SSH 사용자라면 자세한 내용과 일정을 읽으십시오.최근 HTTPS를 통한 비밀번호 지원이 중단되었습니다. 이러한 SSH 변경은 기술적으로 관련이 없지만 GitHub 고객 데이터를 최대한 안전하게 유지하기 위한 동일한 드라이브의 일부입니다.
변경은 점진적으로 이루어집니다 새 호스트 키 ECDSA 및 Ed25519는 14월 1일에 생성됩니다. SHA-2 해시를 사용한 RSA 키 서명 지원은 XNUMX월 XNUMX일에 중단됩니다(이전에 생성된 키는 계속 작동함).
16월 XNUMX일에 DSA 기반 호스트 키에 대한 지원이 중단됩니다. 11년 2022월 15일에 실험으로 이전 SSH 알고리즘에 대한 지원과 암호화 없이 액세스하는 기능이 일시적으로 중단됩니다. XNUMX월 XNUMX일부터 레거시 알고리즘에 대한 지원이 영구적으로 비활성화됩니다.
또한 OpenSSH 코드 베이스는 기본적으로 SHA-1 해시("ssh-rsa")를 사용하여 RSA 키 서명을 비활성화하도록 수정되었음을 언급해야 합니다.
SHA-256 및 SHA-512(rsa-sha2-256/512) 해시 서명에 대한 지원은 변경되지 않은 상태로 유지됩니다. "ssh-rsa" 서명에 대한 지원이 종료된 것은 주어진 접두사를 사용하는 충돌 공격의 효율성이 높아졌기 때문입니다(충돌을 추측하는 비용은 약 $50로 추정됨).
시스템에서 ssh-rsa 사용을 테스트하려면 "-oHostKeyAlgorithms = -ssh-rsa" 옵션을 사용하여 ssh를 통해 연결을 시도할 수 있습니다.
마지막으로그것에 대해 더 알고 싶다면 GitHub의 변경 사항에 대한 세부 정보를 확인할 수 있습니다. 다음 링크에서.