GitHub は、SSH または「git://」スキームを介した git プッシュおよび git プル操作中に使用される Git プロトコルのセキュリティの強化に関連するサービスの変更を発表しました (https:// を介したリクエストは変更の影響を受けません)。 変更が有効になると、SSH 経由で GitHub に接続するには、少なくとも OpenSSH バージョン 7.2 (2016 年リリース) または PuTTY バージョン 0.75 (今年 6 月リリース) が必要になります。 たとえば、サポートが終了した CentOS 14.04 および Ubuntu XNUMX に含まれる SSH クライアントとの互換性は失われます。
この変更には、Git への暗号化されていない呼び出し (「git://」経由) のサポートの削除と、GitHub へのアクセス時に使用される SSH キーの要件の増加が含まれます。 GitHub は、すべての DSA キーと、CBC 暗号 (aes256-cbc、aes192-cbc aes128-cbc) や HMAC-SHA-1 などのレガシー SSH アルゴリズムのサポートを停止します。 さらに、新しい RSA キーには追加の要件が導入され (SHA-1 の使用は禁止されます)、ECDSA および Ed25519 ホスト キーのサポートが実装されています。
変更は徐々に導入されます。 14 月 25519 日に、新しい ECDSA および Ed2 ホスト キーが生成されます。 1 月 16 日、新しい SHA-11 ベースの RSA キーのサポートが終了します (以前に生成されたキーは引き続き機能します)。 2022 月 15 日、DSA アルゴリズムに基づくホスト キーのサポートが終了します。 XNUMX 年 XNUMX 月 XNUMX 日、古い SSH アルゴリズムと暗号化なしでアクセスする機能のサポートが実験として一時的に中止されます。 XNUMX 月 XNUMX 日、古いアルゴリズムのサポートが完全に無効になります。
さらに、SHA-1 ハッシュ (「ssh-rsa」) に基づく RSA キーの処理を無効にするデフォルトの変更が OpenSSH コードベースに加えられたことに注意してください。 SHA-256 および SHA-512 ハッシュを使用した RSA キー (rsa-sha2-256/512) のサポートは変更されません。 「ssh-rsa」キーのサポートの終了は、特定のプレフィックスによる衝突攻撃の効率が向上したためです (衝突を選択するコストは約 50 万ドルと推定されています)。 システムで ssh-rsa の使用をテストするには、「-oHostKeyAlgorithms=-ssh-rsa」オプションを使用して ssh 経由で接続してみてください。
出所: オープンネット.ru