GitHub wprowadził nowe wymagania dotyczące zdalnych połączeń Git

Kilka dni temu GitHub ogłosił szereg zmian w usługa związana z dokręceniem protokołu git, który jest używany podczas operacji git push i git pull za pośrednictwem protokołu SSH lub schematu „git: //”.

Wspomina się, że żądania za pośrednictwem https: // nie będą miały wpływu a gdy zmiany wejdą w życie, co najmniej wersja 7.2 OpenSSH będzie wymagana (wydany w 2016) lub wersja 0.75 od PuTTY (wydany w maju tego roku), aby połączyć się z GitHub przez SSH.

Na przykład wsparcie dla klienta SSH CentOS 6 i Ubuntu 14.04, które zostały już wycofane, zostanie przerwane.

Witaj z Git Systems, zespołu GitHub, który dba o to, aby Twój kod źródłowy był dostępny i bezpieczny. Wprowadzamy pewne zmiany, aby poprawić bezpieczeństwo protokołu podczas wprowadzania lub wyodrębniania danych z Git. Mamy nadzieję, że bardzo niewiele osób zauważy te zmiany, ponieważ wdrażamy je tak płynnie, jak to możliwe, ale nadal chcemy powiadomić o tym z dużym wyprzedzeniem.

Zasadniczo wspomina się, że zmiany sprowadzają się do zaprzestania obsługi nieszyfrowanych wywołań Git poprzez "git: //" i dostosować wymagania dotyczące kluczy SSH używanych podczas dostępu do GitHub, ma to na celu poprawę bezpieczeństwa połączeń wykonywanych przez użytkowników, ponieważ GitHub wspomina, że ​​sposób, w jaki był realizowany jest już przestarzały i niebezpieczny.

GitHub nie będzie już obsługiwać wszystkich kluczy DSA i starszych algorytmów SSH, takich jak szyfry CBC (aes256-cbc, aes192-cbc aes128-cbc) i HMAC-SHA-1. Dodatkowo wprowadzono dodatkowe wymagania dla nowych kluczy RSA (podpisywanie SHA-1 będzie zabronione) oraz zaimplementowano obsługę kluczy hosta ECDSA i Ed25519.

Co się zmienia?
Zmieniamy klucze zgodne z SSH i usuwamy nieszyfrowany protokół Git. W szczególności jesteśmy:

Usunięcie obsługi wszystkich kluczy DSA
Dodawanie wymagań dla nowo dodanych kluczy RSA
Usunięcie niektórych starszych algorytmów SSH (szyfrów HMAC-SHA-1 i CBC)
Dodaj klucze hosta ECDSA i Ed25519 dla SSH
Wyłącz niezaszyfrowany protokół Git
Dotyczy to tylko użytkowników łączących się przez SSH lub git: //. Jeśli Twoje piloty Git zaczynają się od https: // nic w tym poście nie będzie miało na to wpływu. Jeśli jesteś użytkownikiem SSH, zapoznaj się ze szczegółami i harmonogramem.

Niedawno przestaliśmy obsługiwać hasła przez HTTPS. Te zmiany SSH, chociaż technicznie niezwiązane, są częścią tego samego dążenia do zapewnienia jak największego bezpieczeństwa danych klientów GitHub.

Zmiany będą wprowadzane stopniowo a nowe klucze hosta ECDSA i Ed25519 zostaną wygenerowane 14 września. Obsługa podpisywania kluczy RSA przy użyciu skrótu SHA-1 zostanie zakończona 2 listopada (wcześniej wygenerowane klucze będą nadal działać).

16 listopada zakończymy obsługę kluczy hosta opartych na DSA. 11 stycznia 2022 r. w ramach eksperymentu zostanie tymczasowo zawieszona obsługa starszych algorytmów SSH i możliwość dostępu bez szyfrowania. 15 marca obsługa starszych algorytmów zostanie trwale wyłączona.

Ponadto wspomniano, że należy zauważyć, że baza kodu OpenSSH została domyślnie zmodyfikowana, aby wyłączyć podpisywanie klucza RSA za pomocą skrótu SHA-1 („ssh-rsa”).

Obsługa zaszyfrowanych podpisów SHA-256 i SHA-512 (rsa-sha2-256/512) pozostaje bez zmian. Koniec wsparcia dla podpisów „ssh-rsa” wynika ze wzrostu skuteczności ataków kolizyjnych z danym prefiksem (koszt odgadnięcia kolizji szacowany jest na około 50 XNUMX USD).

Aby przetestować użycie ssh-rsa na swoich systemach, możesz spróbować połączyć się przez ssh z opcją "-oHostKeyAlgorithms = -ssh-rsa".

Wreszcie sJeśli chcesz dowiedzieć się więcej na ten temat o zmianach, które wprowadza GitHub, możesz sprawdzić szczegóły W poniższym linku.


Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.