Несколько дней назад GitHub анонсировал ряд изменений в услуга по ужесточению протокола идти, который используется во время операций git push и git pull через SSH или схему «git: //».
Упоминается, что запросы через https: // не будут затронуты и как только изменения вступят в силу, потребуется как минимум версия 7.2 OpenSSH (выпущен в 2016 году) или версия 0.75 из PuTTY (выпущен в мае этого года) для подключения к GitHub через SSH.
Например, поддержка SSH-клиента CentOS 6 и Ubuntu 14.04, которые уже были прекращены, будет нарушена.
Привет от Git Systems, команды GitHub, которая обеспечивает доступность и безопасность вашего исходного кода. Мы вносим некоторые изменения, чтобы повысить безопасность протокола при вводе или извлечении данных из Git. Мы надеемся, что очень немногие люди заметят эти изменения, поскольку мы внедряем их максимально плавно, но мы все же хотим предупредить об этом заблаговременно.
В основном упоминается, что изменения сводятся к прекращению поддержки незашифрованных вызовов Git с помощью "git: //" и скорректируйте требования к SSH-ключам, используемым при доступе к GitHub, чтобы повысить безопасность соединений, устанавливаемых пользователями, поскольку GitHub упоминает, что способ, которым это выполнялось, уже устарел и небезопасно.
GitHub больше не поддерживает все ключи DSA и устаревшие алгоритмы SSH, такие как шифры CBC (aes256-cbc, aes192-cbc, aes128-cbc) и HMAC-SHA-1. Кроме того, вводятся дополнительные требования для новых ключей RSA (подпись SHA-1 будет запрещена) и реализована поддержка ключей хоста ECDSA и Ed25519.
Что меняется?
Мы меняем ключи, совместимые с SSH, и удаляем незашифрованный протокол Git. В частности, мы:Удаление поддержки для всех ключей DSA
Добавление требований для недавно добавленных ключей RSA
Удаление некоторых устаревших алгоритмов SSH (шифров HMAC-SHA-1 и CBC)
Добавьте ключи хоста ECDSA и Ed25519 для SSH
Отключить незашифрованный протокол Git
Затронуты только пользователи, подключающиеся через SSH или git: //. Если ваши пульты Git начинаются с https: //, ничто в этом сообщении не повлияет на это. Если вы являетесь пользователем SSH, читайте подробности и расписание.Недавно мы перестали поддерживать пароли по HTTPS. Эти изменения SSH, хотя технически не связаны, являются частью одного и того же диска, чтобы обеспечить максимальную безопасность данных клиентов GitHub.
Изменения будут вноситься постепенно а новые ключи хоста ECDSA и Ed25519 будут сгенерированы 14 сентября. Поддержка подписи ключей RSA с использованием хэша SHA-1 будет прекращена 2 ноября (ранее сгенерированные ключи будут продолжать работать).
16 ноября будет прекращена поддержка ключей хоста на основе DSA. 11 января 2022 года в порядке эксперимента поддержка старых алгоритмов SSH и возможность доступа без шифрования будут временно приостановлены. 15 марта поддержка устаревших алгоритмов будет окончательно отключена.
Кроме того, следует отметить, что кодовая база OpenSSH была изменена по умолчанию для отключения подписи ключей RSA с использованием хэша SHA-1 («ssh-rsa»).
Поддержка хешированных подписей SHA-256 и SHA-512 (rsa-sha2-256 / 512) остается неизменной. Прекращение поддержки сигнатур «ssh-rsa» связано с увеличением эффективности коллизионных атак с заданным префиксом (стоимость угадывания коллизии оценивается примерно в 50 XNUMX долларов).
Чтобы проверить использование ssh-rsa в ваших системах, вы можете попробовать подключиться через ssh с опцией «-oHostKeyAlgorithms = -ssh-rsa».
Наконец сЕсли вам интересно узнать об этом больше об изменениях, которые делает GitHub, вы можете проверить подробности По следующей ссылке.