Prohoster > Blog > tin tức mạng > GitHub giới thiệu các yêu cầu mới để kết nối với Git từ xa

GitHub giới thiệu các yêu cầu mới để kết nối với Git từ xa

GitHub đã công bố những thay đổi đối với dịch vụ liên quan đến việc tăng cường tính bảo mật của giao thức Git được sử dụng trong các hoạt động git push và git pull thông qua SSH hoặc lược đồ “git://” (các yêu cầu qua https:// sẽ không bị ảnh hưởng bởi những thay đổi). Sau khi các thay đổi có hiệu lực, việc kết nối với GitHub qua SSH sẽ yêu cầu ít nhất OpenSSH phiên bản 7.2 (phát hành năm 2016) hoặc phiên bản PuTTY 0.75 (phát hành vào tháng 6 năm nay). Ví dụ: khả năng tương thích với ứng dụng khách SSH có trong CentOS 14.04 và Ubuntu XNUMX, không còn được hỗ trợ, sẽ bị hỏng.

Những thay đổi này bao gồm việc loại bỏ hỗ trợ cho các lệnh gọi không được mã hóa tới Git (thông qua “git://”) và tăng yêu cầu đối với các khóa SSH được sử dụng khi truy cập GitHub. GitHub sẽ ngừng hỗ trợ tất cả các khóa DSA và thuật toán SSH cũ như mật mã CBC (aes256-cbc, aes192-cbc aes128-cbc) và HMAC-SHA-1. Ngoài ra, các yêu cầu bổ sung đang được đưa ra đối với các khóa RSA mới (việc sử dụng SHA-1 sẽ bị cấm) và việc hỗ trợ cho các khóa máy chủ ECDSA và Ed25519 đang được triển khai.

Những thay đổi sẽ được giới thiệu dần dần. Vào ngày 14 tháng 25519, khóa máy chủ ECDSA và Ed2 mới sẽ được tạo. Vào ngày 1 tháng 16, chúng tôi sẽ ngừng hỗ trợ các khóa RSA dựa trên SHA-11 mới (các khóa được tạo trước đó sẽ tiếp tục hoạt động). Vào ngày 2022 tháng 15, việc hỗ trợ khóa máy chủ dựa trên thuật toán DSA sẽ ngừng hoạt động. Vào ngày XNUMX tháng XNUMX năm XNUMX, chúng tôi sẽ tạm thời ngừng hỗ trợ các thuật toán SSH cũ hơn và khả năng truy cập mà không cần mã hóa dưới dạng thử nghiệm. Vào ngày XNUMX tháng XNUMX, việc hỗ trợ các thuật toán cũ sẽ bị vô hiệu hóa hoàn toàn.

Ngoài ra, chúng tôi có thể lưu ý rằng một thay đổi mặc định đã được thực hiện đối với cơ sở mã OpenSSH vô hiệu hóa việc xử lý khóa RSA dựa trên hàm băm SHA-1 (“ssh-rsa”). Hỗ trợ khóa RSA với hàm băm SHA-256 và SHA-512 (rsa-sha2-256/512) vẫn không thay đổi. Việc ngừng hỗ trợ các khóa “ssh-rsa” là do hiệu quả của các cuộc tấn công va chạm với tiền tố nhất định tăng lên (chi phí chọn xung đột ước tính khoảng 50 nghìn đô la). Để kiểm tra việc sử dụng ssh-rsa trên hệ thống của bạn, bạn có thể thử kết nối qua ssh với tùy chọn “-oHostKeyAlgorithms=-ssh-rsa”.

Nguồn: opennet.ru

Thêm một lời nhận xét