Några dagar sen GitHub tillkännagav ett antal ändringar av tjänsten relaterade till skärpning av protokollet gå, som används under git push och git pull operationer via SSH eller "git: //" schemat.
Det nämns det förfrågningar via https: // påverkas inte och när ändringarna träder i kraft, åtminstone version 7.2 av OpenSSH kommer att krävas (släpptes 2016) eller version 0.75 från PuTTY (släpptes i maj i år) för att ansluta till GitHub via SSH.
Till exempel kommer stödet för SSH -klienten för CentOS 6 och Ubuntu 14.04, som redan har avbrutits, att brytas.
Hej från Git Systems, GitHub -teamet som ser till att din källkod är tillgänglig och säker. Vi gör några ändringar för att förbättra protokollets säkerhet när du anger eller extraherar data från Git. Vi hoppas att väldigt få människor kommer att märka dessa förändringar, eftersom vi genomför dem så smidigt som möjligt, men vi vill ändå meddela mycket i förväg.
I princip nämns det ändringar går ut på att avbryta stödet för okrypterade Git -samtal genom "git: //" och justera kraven för SSH -nycklarna som används vid åtkomst till GitHub, detta för att förbättra säkerheten för anslutningar som görs av användare, eftersom GitHub nämner att det sätt på vilket det utfördes redan är föråldrat och osäker.
GitHub stöder inte längre alla DSA-nycklar och äldre SSH-algoritmer, till exempel CBC-chiffer (aes256-cbc, aes192-cbc aes128-cbc) och HMAC-SHA-1. Dessutom införs ytterligare krav för de nya RSA-nycklarna (signering med SHA-1 är förbjudet) och stöd för ECDSA och Ed25519-värdnycklar implementeras.
Vad förändras?
Vi ändrar vilka nycklar som är SSH -kompatibla och tar bort det okrypterade Git -protokollet. Specifikt är vi:Ta bort stöd för alla DSA -nycklar
Lägga till krav för nyligen tillagda RSA -nycklar
Borttagning av några äldre SSH-algoritmer (HMAC-SHA-1 och CBC-chiffer)
Lägg till ECDSA och Ed25519 värdnycklar för SSH
Inaktivera okrypterat Git -protokoll
Endast användare som ansluter via SSH eller git: // påverkas. Om dina Git -fjärrkontroller börjar med https: // kommer ingenting i det här inlägget att påverka det. Om du är en SSH -användare, läs vidare för detaljer och schema.Vi slutade nyligen att stödja lösenord via HTTPS. Dessa SSH -ändringar, även om de inte är tekniskt relaterade, är en del av samma drivkraft för att hålla GitHub -kunddata så säkra som möjligt.
Ändringar kommer att göras gradvis och de nya värdnycklarna ECDSA och Ed25519 genereras den 14 september. Stöd för RSA-nyckelsignering med SHA-1-hash avbryts den 2 november (tidigare genererade nycklar fortsätter att fungera).
Den 16 november avbryts stödet för DSA-baserade värdnycklar. Den 11 januari 2022, som ett experiment, avbryts stödet för äldre SSH -algoritmer och möjligheten att komma åt utan kryptering tillfälligt. Den 15 mars inaktiveras stöd för äldre algoritmer permanent.
Dessutom nämns att det bör noteras att OpenSSH-kodbasen som standard har modifierats för att inaktivera RSA-nyckelsignering med hjälp av SHA-1-hash ("ssh-rsa").
Stödet för SHA-256 och SHA-512 (rsa-sha2-256 / 512) hackade signaturer förblir oförändrat. Slutet på stödet för "ssh-rsa" -signaturer beror på en ökad effektivitet av kollisionsattacker med ett givet prefix (kostnaden för att gissa kollisionen uppskattas till cirka 50 XNUMX dollar).
För att testa användningen av ssh-rsa på dina system kan du försöka ansluta via ssh med alternativet "-oHostKeyAlgorithms = -ssh-rsa".
Slutligen sOm du är intresserad av att veta mer om det om de ändringar som GitHub gör kan du kontrollera detaljerna I följande länk.