Pred pár dňami GitHub oznámil niekoľko zmien v služba súvisiaca so sprísnením protokolu ísť, ktorý sa používa počas operácií git push a git pull prostredníctvom SSH alebo schémy „git: //“.
Je to spomenuté požiadavky cez https: // nebudú ovplyvnené a akonáhle zmeny nadobudnú účinnosť, bude potrebná aspoň verzia 7.2 OpenSSH (vydané v roku 2016) alebo verzia 0.75 od spoločnosti PuTTY (vydané v máji tohto roku) na pripojenie k GitHub prostredníctvom SSH.
Napríklad bude prerušená podpora pre klienta SSH CentOS 6 a Ubuntu 14.04, ktorý už bol ukončený.
Zdraví vás spoločnosť Git Systems, tím GitHub, ktorý zaisťuje, aby bol váš zdrojový kód dostupný a bezpečný. Vykonávame niekoľko zmien, aby sme zlepšili zabezpečenie protokolu pri zadávaní alebo extrahovaní údajov z Gitu. Dúfame, že si tieto zmeny všimne veľmi málo ľudí, pretože ich implementujeme čo najplynulejšie, ale napriek tomu chceme upozorniť vopred.
V zásade sa to uvádza zmeny sa scvrkávajú na ukončenie podpory nešifrovaných hovorov Git prostredníctvom „git: //“ a upravte požiadavky na kľúče SSH používané pri prístupe na server GitHub, aby sa zlepšila bezpečnosť pripojení vytvorených používateľmi, pretože GitHub uvádza, že spôsob, akým sa uskutočňovalo, je už zastaraný a nebezpečné.
GitHub už nebude podporovať všetky DSA kľúče a staršie algoritmy SSH, ako napríklad šifry CBC (aes256-cbc, aes192-cbc aes128-cbc) a HMAC-SHA-1. Okrem toho sú zavedené ďalšie požiadavky na nové kľúče RSA (podpisovanie SHA-1 bude zakázané) a implementuje sa podpora hostiteľských kľúčov ECDSA a Ed25519.
Čo sa mení?
Meníme, ktoré kľúče sú kompatibilné s SSH, a odstraňujeme nezašifrovaný protokol Git. Konkrétne sme:Odstraňuje sa podpora všetkých kľúčov DSA
Pridanie požiadaviek na novo pridané kľúče RSA
Odstránenie niektorých starších algoritmov SSH (šifry HMAC-SHA-1 a CBC)
Pridajte kľúče hostiteľa ECDSA a Ed25519 pre SSH
Zakázať nešifrovaný protokol Git
Ovplyvnení sú iba používatelia, ktorí sa pripájajú prostredníctvom SSH alebo git: //. Ak vaše diaľkové ovládače Git začínajú https: //, nič v tomto príspevku to neovplyvní. Ak ste používateľom SSH, prečítajte si podrobnosti a harmonogram.Nedávno sme prestali podporovať heslá cez HTTPS. Tieto zmeny SSH, aj keď technicky nesúvisia, sú súčasťou toho istého disku, aby boli údaje o zákazníkoch GitHub čo najbezpečnejšie.
Zmeny sa budú vykonávať postupne a nové hostiteľské kľúče ECDSA a Ed25519 budú vygenerované 14. septembra. Podpora podpisovania kľúčov RSA pomocou hashu SHA-1 bude 2. novembra ukončená (predtým vygenerované kľúče budú naďalej fungovať).
16. novembra bude podpora hostiteľských kľúčov založených na DSA ukončená. 11. januára 2022 bude z dôvodu experimentu dočasne pozastavená podpora starších algoritmov SSH a možnosť prístupu bez šifrovania. 15. marca bude podpora starších algoritmov natrvalo zakázaná.
Okrem toho sa uvádza, že je potrebné poznamenať, že základ kódu OpenSSH bol v predvolenom nastavení upravený tak, aby zakázal podpisovanie kľúčov RSA pomocou hasha SHA-1 („ssh-rsa“).
Podpora hašovaných podpisov SHA-256 a SHA-512 (rsa-sha2-256 / 512) zostáva nezmenená. Koniec podpory podpisov „ssh-rsa“ je spôsobený zvýšením účinnosti kolíznych útokov s danou predponou (náklady na uhádnutie kolízie sa odhadujú na približne 50 XNUMX dolárov).
Ak chcete vyskúšať používanie ssh-rsa vo vašich systémoch, môžete sa pokúsiť pripojiť cez ssh s možnosťou „-oHostKeyAlgorithms = -ssh-rsa“.
Nakoniec sAk máte záujem dozvedieť sa o tom viac ohľadom zmien, ktoré GitHub robí, si môžete pozrieť detaily Na nasledujúcom odkaze.