GitHub представив нові вимоги до віддалених з'єднань Git

Кілька днів тому GitHub оголосив про ряд змін до послуги, пов'язані з посиленням протоколу Git, який використовується під час операцій git push і git pull через SSH або схему "git: //".

Згадується, що запити через https: // не постраждають і як тільки зміни набудуть чинності, буде потрібно принаймні версія 7.2 OpenSSH (випущено у 2016 році) або версія 0.75 від PuTTY (випущено в травні цього року) для підключення до GitHub через SSH.

Наприклад, підтримка клієнта SSH CentOS 6 та Ubuntu 14.04, які вже припинилися, буде порушена.

Привіт від Git Systems, команди GitHub, яка забезпечує, щоб ваш вихідний код був доступний і безпечний. Ми вносимо деякі зміни, щоб покращити безпеку протоколу під час введення або вилучення даних з Git. Ми сподіваємось, що дуже мало людей помітять ці зміни, оскільки ми впроваджуємо їх максимально плавно, але ми все одно хочемо завчасно повідомити про це.

В основному згадується, що зміни зводяться до припинення підтримки незашифрованих викликів Git через "git: //" та відрегулювати вимоги до ключів SSH, що використовуються під час доступу до GitHub, це з метою покращення безпеки з'єднань, здійснених користувачами, оскільки GitHub згадує, що спосіб його здійснення вже застарів і небезпечно.

GitHub більше не підтримуватиме всі ключі DSA та застарілі алгоритми SSH, такі як шифри CBC (aes256-cbc, aes192-cbc aes128-cbc) та HMAC-SHA-1. Крім того, вводяться додаткові вимоги до нових ключів RSA (підписання SHA-1 буде заборонено) та реалізована підтримка ключів ECDSA та Ed25519.

Що змінюється?
Ми змінюємо, які ключі сумісні з SSH, і видаляємо незашифрований протокол Git. Зокрема ми:

Видалення підтримки всіх ключів DSA
Додавання вимог до нещодавно доданих ключів RSA
Видалення деяких застарілих алгоритмів SSH (шифри HMAC-SHA-1 та CBC)
Додайте ключі хостів ECDSA та Ed25519 для SSH
Вимкніть незашифрований протокол Git
Це стосується лише користувачів, які підключаються через SSH або git: //. Якщо ваші пульти дистанційного керування Git починаються з https: // ніщо в цій публікації не вплине на це. Якщо ви користувач SSH, читайте далі для деталей та розкладу.

Нещодавно ми припинили підтримку паролів через HTTPS. Ці зміни SSH, хоча вони технічно не пов'язані, є частиною одного диска, щоб зберегти дані клієнтів GitHub максимально безпечними.

Зміни будуть вноситися поступово а нові ключі хоста ECDSA та Ed25519 будуть створені 14 вересня. Підтримка підписання ключів RSA за допомогою хешу SHA-1 буде припинена 2 листопада (раніше створені ключі продовжать працювати).

16 листопада підтримка ключів хосту на основі DSA буде припинена. 11 січня 2022 року в якості експерименту підтримка старих алгоритмів SSH та можливість доступу без шифрування буде тимчасово припинена. 15 березня підтримка застарілих алгоритмів буде назавжди відключена.

Крім того, згадується, що слід зазначити, що кодова база OpenSSH була змінена за замовчуванням, щоб вимкнути підписання ключів RSA за допомогою хешу SHA-1 ("ssh-rsa").

Підтримка хешованих підписів SHA-256 та SHA-512 (rsa-sha2-256 / 512) залишається незмінною. Припинення підтримки підписів "ssh-rsa" пов'язано із збільшенням ефективності атак зіткнення із заданим префіксом (вартість вгадування зіткнення оцінюється приблизно у 50 XNUMX доларів).

Щоб перевірити використання ssh-rsa у ваших системах, ви можете спробувати підключитися через ssh з опцією "-oHostKeyAlgorithms = -ssh-rsa".

Нарешті сЯкщо вам цікаво дізнатися про це більше про зміни, які вносить GitHub, ви можете перевірити деталі У наступному посиланні.


Будьте першим, щоб коментувати

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.