Acum cateva zile GitHub a anunțat o serie de modificări la serviciul legat de strângerea protocolului merge, care este utilizat în timpul operațiilor de împingere git și git pull prin SSH sau schema „git: //”.
Se menționează că solicitările prin https: // nu vor fi afectate și odată ce modificările intră în vigoare, va fi necesară cel puțin versiunea 7.2 a OpenSSH (lansat în 2016) sau versiune 0.75 de la PuTTY (lansat în luna mai a acestui an) pentru a vă conecta la GitHub prin SSH.
De exemplu, suportul pentru clientul SSH al CentOS 6 și Ubuntu 14.04, care au fost deja întrerupte, va fi întrerupt.
Bună ziua de la Git Systems, echipa GitHub care se asigură că codul dvs. sursă este disponibil și sigur. Aducem unele modificări pentru a îmbunătăți securitatea protocolului atunci când introduceți sau extrageți date din Git. Sperăm că foarte puțini oameni vor observa aceste modificări, deoarece le implementăm cât mai ușor posibil, dar dorim totuși să anunțăm cu mult timp în avans.
Practic se menționează că modificările se reduc la întreruperea asistenței pentru apelurile Git necriptate prin „git: //” și ajustați cerințele pentru cheile SSH utilizate la accesarea GitHub, aceasta pentru a îmbunătăți securitatea conexiunilor făcute de utilizatori, deoarece GitHub menționează că modul în care a fost realizat este deja învechit și nesigur.
GitHub nu va mai suporta toate cheile DSA și algoritmii SSH vechi, cum ar fi cifrele CBC (aes256-cbc, aes192-cbc aes128-cbc) și HMAC-SHA-1. În plus, sunt introduse cerințe suplimentare pentru noile chei RSA (semnarea SHA-1 va fi interzisă) și este implementat suportul pentru cheile gazdă ECDSA și Ed25519.
Ce se schimbă?
Schimbăm ce chei sunt compatibile cu SSH și eliminăm protocolul Git necriptat. Mai exact suntem:Se elimină suportul pentru toate cheile DSA
Adăugarea de cerințe pentru cheile RSA adăugate recent
Eliminarea unor algoritmi SSH vechi (criptare HMAC-SHA-1 și CBC)
Adăugați chei de gazdă ECDSA și Ed25519 pentru SSH
Dezactivați protocolul Git necriptat
Numai utilizatorii care se conectează prin SSH sau git: // sunt afectați. Dacă telecomenzile dvs. Git încep cu https: // nimic din această postare nu îl va afecta. Dacă sunteți utilizator SSH, citiți mai departe pentru detalii și program.Recent am încetat să acceptăm parole prin HTTPS. Aceste modificări SSH, deși nu au legătură tehnică, fac parte din aceeași unitate pentru a menține datele clienților GitHub cât mai sigure posibil.
Modificările vor fi făcute treptat iar noile chei de gazdă ECDSA și Ed25519 vor fi generate pe 14 septembrie. Suportul pentru semnarea cheii RSA utilizând hasha SHA-1 va fi întrerupt pe 2 noiembrie (cheile generate anterior vor continua să funcționeze).
Pe 16 noiembrie, suportul pentru cheile de gazdă bazate pe DSA va fi întrerupt. La 11 ianuarie 2022, ca experiment, suportul pentru algoritmii SSH mai vechi și capacitatea de acces fără criptare vor fi suspendate temporar. Pe 15 martie, suportul pentru algoritmi vechi va fi dezactivat permanent.
În plus, se menționează că trebuie remarcat faptul că baza de cod OpenSSH a fost modificată implicit pentru a dezactiva semnarea cheii RSA folosind hash-ul SHA-1 („ssh-rsa”).
Suportul pentru semnăturile hash SHA-256 și SHA-512 (rsa-sha2-256 / 512) rămâne neschimbat. Sfârșitul suportului pentru semnăturile „ssh-rsa” se datorează creșterii eficacității atacurilor de coliziune cu un prefix dat (costul ghicirii coliziunii este estimat la aproximativ 50 de dolari).
Pentru a testa utilizarea ssh-rsa pe sistemele dvs., puteți încerca să vă conectați prin ssh cu opțiunea „-oHostKeyAlgorithms = -ssh-rsa”.
În cele din urmă sDacă sunteți interesat să aflați mai multe despre asta despre modificările pe care le face GitHub, puteți verifica detaliile În următorul link.