Pirms dažām dienām GitHub paziņoja par vairākām izmaiņām pakalpojums, kas saistīts ar protokola pastiprināšanu Git, ko izmanto git push un git pull operāciju laikā, izmantojot SSH vai "git: //" shēmu.
Tas ir minēts pieprasījumi, izmantojot vietni https: //, netiks ietekmēti un tiklīdz izmaiņas stājas spēkā, būs nepieciešama vismaz OpenSSH versija 7.2 (izlaists 2016. gadā) vai versija 0.75 no PuTTY (izlaists šī gada maijā), lai izveidotu savienojumu ar GitHub, izmantojot SSH.
Piemēram, tiks pārtraukts atbalsts CentOS 6 un Ubuntu 14.04 SSH klientam, kuru darbība jau ir pārtraukta.
Sveicieni no Git Systems, GitHub komandas, kas nodrošina, ka jūsu avota kods ir pieejams un drošs. Mēs veicam dažas izmaiņas, lai uzlabotu protokola drošību, ievadot vai iegūstot datus no Git. Mēs ceram, ka ļoti maz cilvēku pamanīs šīs izmaiņas, jo mēs tās īstenojam pēc iespējas vienmērīgāk, taču mēs tomēr vēlamies par to iepriekš brīdināt.
Būtībā tiek minēts, ka izmaiņas ir saistītas ar pārtrauktu atbalstu nešifrētiem Git zvaniem caur "git: //" un pielāgojiet prasības SSH atslēgām, kas tiek izmantotas, piekļūstot GitHub, lai tādējādi uzlabotu lietotāju izveidoto savienojumu drošību, jo GitHub min, ka veids, kā tas tika veikts, jau ir novecojis un nedroši.
GitHub vairs neatbalstīs visas DSA atslēgas un mantotos SSH algoritmus, piemēram, CBC šifrus (aes256-cbc, aes192-cbc aes128-cbc) un HMAC-SHA-1. Turklāt tiek ieviestas papildu prasības jaunām RSA atslēgām (SHA-1 parakstīšana būs aizliegta) un tiek ieviests atbalsts ECDSA un Ed25519 resursdatoru atslēgām.
Kas mainās?
Mēs mainām, kuras atslēgas ir saderīgas ar SSH, un noņemam nešifrētu Git protokolu. Konkrēti mēs esam:Tiek noņemts atbalsts visām DSA atslēgām
Prasību pievienošana nesen pievienotajām RSA atslēgām
Dažu mantoto SSH algoritmu (HMAC-SHA-1 un CBC šifru) noņemšana
Pievienojiet ECDSA un Ed25519 resursdatora atslēgas SSH
Atspējot nešifrētu Git protokolu
Tiek ietekmēti tikai tie lietotāji, kas izveido savienojumu, izmantojot SSH vai git: //. Ja jūsu Git tālvadības pults sākas ar https: //, nekas šajā ierakstā to neietekmēs. Ja esat SSH lietotājs, sīkāku informāciju un grafiku lasiet tālāk.Nesen pārtraucām atbalstīt paroles, izmantojot HTTPS. Šīs SSH izmaiņas, kaut arī tehniski nav saistītas, ir daļa no viena diska, lai GitHub klientu dati būtu pēc iespējas drošāki.
Izmaiņas tiks veiktas pakāpeniski un jaunās resursdatora atslēgas ECDSA un Ed25519 tiks ģenerētas 14. septembrī. Atbalsts RSA atslēgu parakstīšanai, izmantojot SHA-1 jaukšanu, tiks pārtraukts 2. novembrī (iepriekš ģenerētās atslēgas turpinās darboties).
16. novembrī tiks pārtraukts atbalsts uz DSA balstītām resursdatora atslēgām. 11. gada 2022. janvārī kā eksperiments uz laiku tiks apturēts vecāku SSH algoritmu atbalsts un iespēja piekļūt bez šifrēšanas. 15. martā mantoto algoritmu atbalsts tiks neatgriezeniski atspējots.
Turklāt ir minēts, ka jāatzīmē, ka OpenSSH koda bāze pēc noklusējuma ir modificēta, lai atspējotu RSA atslēgu parakstīšanu, izmantojot SHA-1 jaucējkodu ("ssh-rsa").
Atbalsts SHA-256 un SHA-512 (rsa-sha2-256 / 512) jauktajiem parakstiem paliek nemainīgs. Atbalsta "ssh-rsa" parakstiem beigas ir saistītas ar sadursmes uzbrukumu efektivitātes palielināšanos ar noteiktu prefiksu (sadursmes uzminēšanas izmaksas tiek lēstas aptuveni 50 XNUMX ASV dolāru apmērā).
Lai pārbaudītu ssh-rsa izmantošanu jūsu sistēmās, varat mēģināt izveidot savienojumu, izmantojot ssh, izmantojot opciju "-oHostKeyAlgorithms = -ssh-rsa".
Visbeidzot sJa jūs interesē uzzināt vairāk par to par izmaiņām, ko veic GitHub, varat pārbaudīt informāciju Šajā saitē.