Noen dager siden GitHub kunngjorde en rekke endringer i tjenesten knyttet til innstrammingen av protokollen gå, som brukes under git push og git pull operasjoner via SSH eller "git: //" skjemaet.
Det er nevnt at forespørsler via https: // påvirkes ikke og når endringene trer i kraft, minst versjon 7.2 av OpenSSH vil være nødvendig (utgitt i 2016) eller versjon 0.75 fra PuTTY (utgitt i mai i år) for å koble til GitHub via SSH.
For eksempel vil støtten for SSH -klienten til CentOS 6 og Ubuntu 14.04, som allerede er avviklet, bli brutt.
Hei fra Git Systems, GitHub -teamet som sørger for at kildekoden din er tilgjengelig og sikker. Vi gjør noen endringer for å forbedre sikkerheten til protokollen når du skriver inn eller trekker ut data fra Git. Vi håper at svært få mennesker vil legge merke til disse endringene, ettersom vi implementerer dem så jevnt som mulig, men vi ønsker fortsatt å gi mye forhåndsvarsel.
I utgangspunktet nevnes det endringer går ut på å avbryte støtten for ukrypterte Git -anrop gjennom "git: //" og juster kravene til SSH -nøklene som brukes når du får tilgang til GitHub, dette for å forbedre sikkerheten til tilkoblinger fra brukere, siden GitHub nevner at måten den ble utført på allerede er foreldet og utrygt.
GitHub støtter ikke lenger alle DSA-nøkler og eldre SSH-algoritmer, for eksempel CBC-chiffer (aes256-cbc, aes192-cbc aes128-cbc) og HMAC-SHA-1. I tillegg innføres ytterligere krav for nye RSA-nøkler (SHA-1 signering er forbudt) og støtte for ECDSA og Ed25519 vertsnøkler er implementert.
Hva er i endring?
Vi endrer hvilke nøkler som er SSH -kompatible og fjerner den ukrypterte Git -protokollen. Spesielt er vi:Fjerner støtte for alle DSA -nøkler
Legge til krav for nylig lagt til RSA -nøkler
Fjerning av noen eldre SSH-algoritmer (HMAC-SHA-1 og CBC-sifre)
Legg til ECDSA og Ed25519 vertsnøkler for SSH
Deaktiver ukryptert Git -protokoll
Bare brukere som kobler til via SSH eller git: // påvirkes. Hvis Git -fjernkontrollene dine begynner med https: // vil ingenting i dette innlegget påvirke det. Hvis du er en SSH -bruker, kan du lese videre for detaljer og tidsplan.Vi har nylig sluttet å støtte passord via HTTPS. Disse SSH -endringene, selv om de ikke er teknisk relatert, er en del av samme stasjon for å holde GitHub -kundedata så sikre som mulig.
Endringer vil bli gjort gradvis og de nye vertsnøklene ECDSA og Ed25519 genereres 14. september. Støtte for RSA-nøkkelsignering med SHA-1-hash blir avviklet 2. november (tidligere genererte nøkler vil fortsette å fungere).
16. november blir støtte for DSA-baserte vertsnøkler avviklet. 11. januar 2022, som et eksperiment, vil støtte for eldre SSH -algoritmer og muligheten for tilgang uten kryptering midlertidig bli suspendert. 15. mars blir støtte for eldre algoritmer permanent deaktivert.
I tillegg nevnes det at det skal bemerkes at OpenSSH-kodebasen som standard er blitt endret for å deaktivere RSA-nøkkelsignering ved bruk av SHA-1-hash ("ssh-rsa").
Støtte for SHA-256 og SHA-512 (rsa-sha2-256 / 512) hash-signaturer forblir uendret. Avslutningen på støtten til "ssh-rsa" signaturer skyldes en økning i effektiviteten av kollisjonsangrep med et gitt prefiks (kostnaden for å gjette kollisjonen er estimert til omtrent $ 50 XNUMX).
For å teste bruken av ssh-rsa på systemene dine, kan du prøve å koble til via ssh med alternativet "-oHostKeyAlgorithms = -ssh-rsa".
Endelig sHvis du er interessert i å vite mer om det om endringene som GitHub gjør, kan du sjekke detaljene I den følgende lenken.