GitHub, uzak Git bağlantıları için yeni gereksinimler getirdi

Birkaç gün önce GitHub bir dizi değişiklik duyurdu protokolün sıkılaştırılması ile ilgili hizmet GitSSH veya "git: //" şeması aracılığıyla git push ve git pull işlemleri sırasında kullanılan .

Bundan bahsediliyor https: // üzerinden yapılan istekler etkilenmeyecek ve değişiklikler yürürlüğe girdiğinde, OpenSSH'nin en az 7.2 sürümü gerekli olacaktır (2016'da yayınlandı) veya sürüm PuTTY'den 0.75 (bu yılın Mayıs ayında yayınlandı) GitHub'a SSH üzerinden bağlanmak için.

Örneğin, zaten durdurulan CentOS 6 ve Ubuntu 14.04'ün SSH istemcisi için destek bozulacak.

Kaynak kodunuzun kullanılabilir ve güvenli olduğundan emin olan GitHub ekibi Git Systems'den merhaba. Git'ten veri girdiğinizde veya çıkardığınızda protokolün güvenliğini artırmak için bazı değişiklikler yapıyoruz. Bunları olabildiğince sorunsuz bir şekilde uyguladığımız için çok az kişinin bu değişiklikleri fark edeceğini umuyoruz, ancak yine de çok önceden bildirimde bulunmak istiyoruz.

Temelde bundan bahsediliyor değişiklikler, şifrelenmemiş Git çağrıları için desteğin kesilmesine bağlı "git: //" aracılığıyla ve GitHub'a erişirken kullanılan SSH anahtarlarının gereksinimlerini ayarlayın, bu, GitHub'ın gerçekleştirilme şeklinin zaten eski olduğundan ve kullanıcılar tarafından yapılan bağlantıların güvenliğini artırmak için. güvensiz.

GitHub artık tüm DSA anahtarlarını ve CBC şifreleri (aes256-cbc, aes192-cbc aes128-cbc) ve HMAC-SHA-1 gibi eski SSH algoritmalarını desteklemeyecektir. Ek olarak, yeni RSA anahtarları için ek gereksinimler getirildi (SHA-1 imzalama yasaklanacak) ve ECDSA ve Ed25519 ana bilgisayar anahtarları için destek uygulandı.

Ne değişiyor?
Hangi anahtarların SSH uyumlu olduğunu değiştiriyoruz ve şifrelenmemiş Git protokolünü kaldırıyoruz. Özellikle biz:

Tüm DSA anahtarları için desteğin kaldırılması
Yeni Eklenen RSA Anahtarları İçin Gereksinimler Ekleme
Bazı eski SSH algoritmalarının kaldırılması (HMAC-SHA-1 ve CBC şifreleri)
SSH için ECDSA ve Ed25519 ana bilgisayar anahtarlarını ekleyin
Şifrelenmemiş Git protokolünü devre dışı bırak
Yalnızca SSH veya git: // üzerinden bağlanan kullanıcılar etkilenir. Git uzaktan kumandalarınız https: // ile başlıyorsa, bu gönderideki hiçbir şey onu etkilemeyecektir. SSH kullanıcısıysanız, ayrıntılar ve program için okumaya devam edin.

Kısa süre önce HTTPS üzerinden parolaları desteklemeyi durdurduk. Bu SSH değişiklikleri, teknik olarak ilgisiz olmakla birlikte, GitHub müşteri verilerini olabildiğince güvenli tutmak için aynı sürücünün parçasıdır.

Değişiklikler kademeli olarak yapılacak ve yeni ana bilgisayar anahtarları ECDSA ve Ed25519, 14 Eylül'de oluşturulacak. SHA-1 karma kullanarak RSA anahtar imzalama desteği 2 Kasım'da durdurulacak (önceden oluşturulan anahtarlar çalışmaya devam edecek).

16 Kasım'da DSA tabanlı ana bilgisayar anahtarlarına yönelik destek durdurulacak. 11 Ocak 2022'de bir deney olarak, eski SSH algoritmalarına yönelik destek ve şifreleme olmadan erişim yeteneği geçici olarak askıya alınacaktır. 15 Mart'ta eski algoritmalar için destek kalıcı olarak devre dışı bırakılacak.

Ek olarak, OpenSSH kod tabanının, SHA-1 karma ("ssh-rsa") kullanılarak RSA anahtar imzalamayı devre dışı bırakmak için varsayılan olarak değiştirildiğine dikkat edilmelidir.

SHA-256 ve SHA-512 (rsa-sha2-256 / 512) karma imzaları için destek değişmeden kalır. "Ssh-rsa" imzaları için desteğin sona ermesi, belirli bir önekle çarpışma saldırılarının etkinliğindeki bir artıştan kaynaklanmaktadır (çarpışmayı tahmin etmenin maliyeti yaklaşık 50 $ olarak tahmin edilmektedir).

Sistemlerinizde ssh-rsa kullanımını test etmek için "-oHostKeyAlgorithms = -ssh-rsa" seçeneği ile ssh üzerinden bağlanmayı deneyebilirsiniz.

Sonunda sBu konuda daha fazla bilgi edinmek istiyorsanız GitHub'ın yaptığı değişiklikler hakkında detayları inceleyebilirsiniz. Aşağıdaki bağlantıda.


Makalenin içeriği şu ilkelerimize uygundur editoryal etik. Bir hata bildirmek için tıklayın burada.

İlk yorumu siz

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak.

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.