Paar dagen geleden GitHub heeft een aantal wijzigingen aangekondigd in de dienstverlening met betrekking tot de aanscherping van het protocol Git, die wordt gebruikt tijdens git push- en git pull-bewerkingen via SSH of het "git: //" -schema.
Er wordt gezegd dat verzoeken via https: // worden niet beïnvloed en zodra de wijzigingen van kracht worden, minimaal versie 7.2 van OpenSSH is vereist (uitgebracht in 2016) of versie 0.75 van PuTTY (uitgebracht in mei van dit jaar) om via SSH verbinding te maken met GitHub.
Zo wordt de ondersteuning voor de SSH-client van CentOS 6 en Ubuntu 14.04, die al is stopgezet, verbroken.
Hallo van Git Systems, het GitHub-team dat ervoor zorgt dat uw broncode beschikbaar en veilig is. We brengen enkele wijzigingen aan om de beveiliging van het protocol te verbeteren wanneer u gegevens invoert of uit Git haalt. We hopen dat heel weinig mensen deze wijzigingen zullen opmerken, aangezien we ze zo soepel mogelijk doorvoeren, maar we willen het toch ruim van tevoren doorgeven.
In principe wordt vermeld dat veranderingen komen neer op het stopzetten van de ondersteuning voor niet-versleutelde Git-aanroepen via "git: //" en pas de vereisten aan voor de SSH-sleutels die worden gebruikt bij het openen van GitHub, dit om de veiligheid van verbindingen die door gebruikers zijn gemaakt te verbeteren, aangezien GitHub vermeldt dat de manier waarop het werd uitgevoerd al verouderd is en onveilig.
GitHub ondersteunt niet langer alle DSA-sleutels en legacy SSH-algoritmen, zoals CBC-coderingen (aes256-cbc, aes192-cbc aes128-cbc) en HMAC-SHA-1. Daarnaast worden er aanvullende vereisten geïntroduceerd voor nieuwe RSA-sleutels (SHA-1-ondertekening wordt verboden) en wordt ondersteuning voor ECDSA- en Ed25519-hostsleutels geïmplementeerd.
Wat verandert er?
We veranderen welke sleutels SSH-compatibel zijn en verwijderen het niet-versleutelde Git-protocol. Concreet zijn wij:Ondersteuning voor alle DSA-sleutels verwijderen
Vereisten toevoegen voor nieuw toegevoegde RSA-sleutels
Verwijdering van enkele verouderde SSH-algoritmen (HMAC-SHA-1- en CBC-coderingen)
Voeg ECDSA- en Ed25519-hostsleutels toe voor SSH
Niet-versleuteld Git-protocol uitschakelen
Alleen gebruikers die verbinding maken via SSH of git: // worden beïnvloed. Als je Git-afstandsbedieningen beginnen met https: // heeft niets in dit bericht daar invloed op. Als je een SSH-gebruiker bent, lees dan verder voor de details en het schema.We zijn onlangs gestopt met het ondersteunen van wachtwoorden via HTTPS. Deze SSH-wijzigingen, hoewel technisch niet gerelateerd, maken deel uit van dezelfde drive om GitHub-klantgegevens zo veilig mogelijk te houden.
Wijzigingen zullen geleidelijk worden doorgevoerd en de nieuwe hostsleutels ECDSA en Ed25519 worden op 14 september gegenereerd. Ondersteuning voor RSA-sleutelondertekening met SHA-1-hash wordt op 2 november stopgezet (eerder gegenereerde sleutels blijven werken).
Op 16 november wordt de ondersteuning voor op DSA gebaseerde hostsleutels stopgezet. Op 11 januari 2022 wordt bij wijze van experiment ondersteuning voor oudere SSH-algoritmen en de mogelijkheid om toegang te krijgen zonder encryptie tijdelijk opgeschort. Op 15 maart wordt de ondersteuning voor verouderde algoritmen permanent uitgeschakeld.
Daarnaast wordt vermeld dat moet worden opgemerkt dat de OpenSSH-codebasis standaard is gewijzigd om RSA-sleutelondertekening met behulp van de SHA-1-hash ("ssh-rsa") uit te schakelen.
Ondersteuning voor SHA-256 en SHA-512 (rsa-sha2-256 / 512) gehashte handtekeningen blijft ongewijzigd. Het einde van de ondersteuning voor "ssh-rsa"-handtekeningen is te wijten aan een toename van de effectiviteit van botsingsaanvallen met een bepaald voorvoegsel (de kosten van het raden van de botsing worden geschat op ongeveer $ 50).
Om het gebruik van ssh-rsa op uw systemen te testen, kunt u proberen verbinding te maken via ssh met de optie "-oHostKeyAlgorithms = -ssh-rsa".
Eindelijk sAls je er meer over wilt weten over de veranderingen die GitHub aanbrengt, kun je de details bekijken In de volgende link.