Pred nekaj dnevi GitHub je napovedal številne spremembe storitev v zvezi z zaostrovanjem protokola git, ki se uporablja med operacijama git push in git pull prek SSH ali sheme "git: //".
Omenjeno je, da na zahteve prek https: // ne bo vplivalo in ko spremembe začnejo veljati, potrebna bo vsaj različica OpenSSH 7.2 (izdano leta 2016) ali različico 0.75 od PuTTY (izšlo maja letos) za povezavo z GitHubom prek SSH.
Na primer, podpora za odjemalca SSH CentOS 6 in Ubuntu 14.04, ki sta bili že ukinjeni, bo prekinjena.
Pozdravljeni iz Git Systems, ekipe GitHub, ki skrbi, da je vaša izvorna koda dostopna in varna. Ko vnesete ali izvlečete podatke iz Gita, izvajamo nekatere spremembe za izboljšanje varnosti protokola. Upamo, da bo te spremembe opazilo zelo malo ljudi, saj jih izvajamo čim bolj gladko, a vseeno želimo o tem vnaprej obvestiti.
V bistvu je omenjeno, da spremembe segajo v ukinitev podpore za nešifrirane klice Git prek "git: //" in prilagodite zahteve za ključe SSH, ki se uporabljajo pri dostopu do GitHub -a, to za izboljšanje varnosti povezav uporabnikov, saj GitHub omenja, da je način izvajanja že zastarel in nevarno.
GitHub ne bo več podpiral vseh ključev DSA in podedovanih SSH algoritmov, kot so CBC šifre (aes256-cbc, aes192-cbc aes128-cbc) in HMAC-SHA-1. Poleg tega so uvedene dodatne zahteve za nove ključe RSA (podpisovanje s SHA-1 bo prepovedano) in podprta sta gostiteljska ključa ECDSA in Ed25519.
Kaj se spreminja?
Spreminjamo, kateri ključi so skladni s SSH, in odstranjujemo nešifriran protokol Git. Natančneje smo:Odstranitev podpore za vse ključe DSA
Dodajanje zahtev za novo dodane ključe RSA
Odstranitev nekaterih starejših algoritmov SSH (šifre HMAC-SHA-1 in CBC)
Dodajte ključe gostitelja ECDSA in Ed25519 za SSH
Onemogočite nešifriran protokol Git
Prizadeti so samo uporabniki, ki se povezujejo prek SSH ali git: //. Če se vaši daljinski upravljalniki Git začnejo s https: // nič v tem prispevku ne bo vplivalo na to. Če ste uporabnik SSH, preberite podrobnosti in urnik.Pred kratkim smo prek HTTPS prenehali podpirati gesla. Te spremembe SSH, čeprav tehnično niso povezane, so del istega pogona, da bi bili podatki o strankah GitHub čim bolj zaščiteni.
Spremembe bodo postopoma novi ključi gostitelja ECDSA in Ed25519 pa bodo ustvarjeni 14. septembra. Podpora za podpisovanje ključev RSA z razpršilnikom SHA-1 bo ukinjena 2. novembra (predhodno ustvarjeni ključi bodo še naprej delovali).
16. novembra bo podpora za gostiteljske ključe, ki temeljijo na DSA, ukinjena. 11. januarja 2022 bo kot poskus podpora starejšim algoritmom SSH in možnost dostopa brez šifriranja začasno prekinjena. 15. marca bo podpora za podedovane algoritme trajno onemogočena.
Poleg tega je treba omeniti, da je treba opozoriti, da je bila baza kod OpenSSH privzeto spremenjena, da se onemogoči podpisovanje ključev RSA z razpršilnikom SHA-1 ("ssh-rsa").
Podpora za razpršene podpise SHA-256 in SHA-512 (rsa-sha2-256 / 512) ostaja nespremenjena. Konec podpore za podpise "ssh-rsa" je posledica povečanja učinkovitosti napadov trkov z dano predpono (stroški ugibanja trka so ocenjeni na približno 50 USD).
Če želite preizkusiti uporabo ssh-rsa v svojih sistemih, se lahko poskusite povezati prek ssh z možnostjo "-oHostKeyAlgorithms = -ssh-rsa".
Končno sČe vas zanima več o tem o spremembah, ki jih izvaja GitHub, lahko preverite podrobnosti V naslednji povezavi.