幾天前 GitHub 宣布了多項更改 與收緊協議有關的服務 混帳,它在通過 SSH 或“git://”方案進行 git push 和 git pull 操作期間使用。
有人提到 通過 https:// 請求:// 不會受到影響 一旦更改生效, 至少需要 OpenSSH 7.2 版 (2016 年發布)或版本 0.75 來自膩子 (今年 XNUMX 月發布)通過 SSH 連接到 GitHub。
例如,對已經停產的 CentOS 6 和 Ubuntu 14.04 的 SSH 客戶端的支持將被破壞。
來自 Git Systems 的問候,GitHub 團隊確保您的源代碼可用且安全。 當您從 Git 輸入或提取數據時,我們正在進行一些更改以提高協議的安全性。 我們希望很少有人會注意到這些變化,因為我們正在盡可能順利地實施它們,但我們仍然希望提前通知。
基本上提到的是 更改歸結為停止支持未加密的 Git 調用 通過“git://”並調整訪問GitHub時使用的SSH密鑰的要求,這是為了提高用戶建立的連接的安全性,因為GitHub提到它進行的方式已經過時並且不安全。
GitHub 將不再支持所有 DSA 密鑰和傳統 SSH 算法,例如 CBC 密碼(aes256-cbc、aes192-cbc aes128-cbc)和 HMAC-SHA-1。 此外,還為新的 RSA 密鑰引入了額外要求(將禁止 SHA-1 簽名),並實現了對 ECDSA 和 Ed25519 主機密鑰的支持。
發生了什麼變化?
我們正在更改哪些密鑰符合 SSH 並刪除未加密的 Git 協議。 具體來說,我們是:取消對所有 DSA 密鑰的支持
為新添加的 RSA 密鑰添加要求
刪除一些舊的 SSH 算法(HMAC-SHA-1 和 CBC 密碼)
為 SSH 添加 ECDSA 和 Ed25519 主機密鑰
禁用未加密的 Git 協議
只有通過 SSH 或 git: // 連接的用戶會受到影響。 如果您的 Git 遙控器以 https:// 開頭: // 這篇文章中的任何內容都不會影響它。 如果您是 SSH 用戶,請繼續閱讀以了解詳細信息和時間表。我們最近停止通過 HTTPS 支持密碼。 這些 SSH 更改雖然在技術上無關,但也是為了盡可能保護 GitHub 客戶數據的安全。
將逐步進行更改 新的主機密鑰 ECDSA 和 Ed25519 將於 14 月 1 日生成。 對使用 SHA-2 哈希的 RSA 密鑰簽名的支持將於 XNUMX 月 XNUMX 日停止(之前生成的密鑰將繼續有效)。
16 月 XNUMX 日,將停止支持基於 DSA 的主機密鑰。 11 年 2022 月 15 日,作為一項實驗,對舊 SSH 算法的支持和不加密訪問的能力將被暫時中止。 XNUMX 月 XNUMX 日,將永久禁用對舊算法的支持。
此外,需要注意的是,OpenSSH 代碼庫已默認修改為禁用使用 SHA-1 哈希(“ssh-rsa”)的 RSA 密鑰簽名。
對 SHA-256 和 SHA-512 (rsa-sha2-256 / 512) 散列簽名的支持保持不變。 終止對“ssh-rsa”簽名的支持是由於具有給定前綴的碰撞攻擊的有效性增加(猜測碰撞的成本估計約為 50 美元)。
要在您的系統上測試 ssh-rsa 的使用,您可以嘗試通過 ssh 使用選項“-oHostKeyAlgorithms = -ssh-rsa”進行連接。
終於如果你有興趣了解更多 關於 GitHub 正在進行的更改,您可以查看詳細信息 在下面的鏈接中。