Prieš kelias dienas „GitHub“ paskelbė keletą pakeitimų paslauga, susijusi su protokolo sugriežtinimu git, kuris naudojamas atliekant „git push“ ir „git pull“ operacijas per SSH arba „git: //“ schemą.
Minima, kad užklausos per https: // nebus paveiktos ir kai tik pakeitimai įsigalios, reikės bent 7.2 versijos „OpenSSH“ (išleista 2016 m.) arba versija 0.75 nuo „PuTTY“ (išleistas šių metų gegužę) prisijungti prie „GitHub“ per SSH.
Pvz., Bus nutrauktas „CentOS 6“ ir „Ubuntu 14.04“ SSH kliento, kurie jau buvo nutraukti, palaikymas.
Sveiki, „Git Systems“, „GitHub“ komanda, kuri užtikrina, kad jūsų šaltinio kodas būtų prieinamas ir saugus. Atliekame tam tikrus pakeitimus, kad pagerintume protokolo saugumą, kai įvedate arba ištraukiate duomenis iš „Git“. Tikimės, kad tik nedaugelis žmonių pastebės šiuos pokyčius, nes juos įgyvendiname kuo sklandžiau, tačiau vis tiek norime apie tai iš anksto pranešti.
Iš esmės minima, kad pakeitimai baigiasi tuo, kad nutraukiamas nešifruotų „Git“ skambučių palaikymas per „git: //“ ir pakoreguokite SSH raktų, naudojamų prisijungiant prie „GitHub“, reikalavimus, kad būtų pagerintas vartotojų sukurtų ryšių saugumas, nes „GitHub“ nurodo, kad jo atlikimo būdas jau yra pasenęs ir nesaugu.
„GitHub“ nebepalaikys visų DSA raktų ir senų SSH algoritmų, tokių kaip CBC šifrai (aes256-cbc, aes192-cbc aes128-cbc) ir HMAC-SHA-1. Be to, įvedami papildomi reikalavimai naujiems RSA raktams (SHA-1 pasirašymas bus uždraustas) ir įdiegta ECDSA ir Ed25519 pagrindinio kompiuterio raktų parama.
Kas keičiasi?
Keičiame SSH suderinamus raktus ir pašaliname nešifruotą „Git“ protokolą. Konkrečiai mes esame:Pašalinamas visų DSA raktų palaikymas
Reikalavimų pridėjimas naujai pridėtiems RSA raktams
Kai kurių senų SSH algoritmų pašalinimas (HMAC-SHA-1 ir CBC šifrai)
Pridėkite ECDSA ir Ed25519 pagrindinius SSH raktus
Išjungti nešifruotą „Git“ protokolą
Tai paveikia tik vartotojai, prisijungiantys per SSH arba git: //. Jei jūsų „Git“ nuotolinio valdymo pultai prasideda „https: //“, niekas šiame įraše to nepaveiks. Jei esate SSH vartotojas, perskaitykite informaciją ir tvarkaraštį.Neseniai nustojome palaikyti slaptažodžius per HTTPS. Šie SSH pakeitimai, nors ir techniškai nesusiję, yra to paties disko dalis, kad „GitHub“ klientų duomenys būtų kuo saugesni.
Pakeitimai bus atliekami palaipsniui ir nauji pagrindiniai raktai ECDSA ir Ed25519 bus sugeneruoti rugsėjo 14 d. RSA raktų pasirašymo naudojant SHA-1 maišą palaikymas bus nutrauktas lapkričio 2 d. (Anksčiau sukurti raktai ir toliau veiks).
Lapkričio 16 d. DSA pagrįstų pagrindinio kompiuterio raktų palaikymas bus nutrauktas. 11 m. Sausio 2022 d., Kaip eksperimentas, senesnių SSH algoritmų palaikymas ir galimybė pasiekti be šifravimo bus laikinai sustabdyta. Kovo 15 d. Senų algoritmų palaikymas bus visam laikui išjungtas.
Be to, paminėtina, kad reikėtų pažymėti, kad pagal numatytuosius nustatymus „OpenSSH“ kodo bazė buvo modifikuota, kad būtų išjungtas RSA rakto pasirašymas naudojant SHA-1 maišą („ssh-rsa“).
SHA-256 ir SHA-512 (rsa-sha2-256 / 512) maišų parašų palaikymas nesikeičia. „Ssh-rsa“ parašų palaikymo pabaiga yra dėl padidėjusio susidūrimo atakų efektyvumo naudojant nurodytą priešdėlį (susidūrimo atspėjimo kaina yra apie 50 XNUMX USD).
Norėdami išbandyti „ssh-rsa“ naudojimą savo sistemose, galite pabandyti prisijungti per ssh naudodami parinktį „-oHostKeyAlgorithms = -ssh-rsa“.
Pagaliau sJei jus domina daugiau apie tai sužinoti apie „GitHub“ atliekamus pakeitimus galite patikrinti išsamią informaciją Šioje nuorodoje.