GitHub 宣布对服务进行更改,以加强通过 SSH 或“git://”方案进行 git Push 和 git Pull 操作期间使用的 Git 协议的安全性(通过 https:// 的请求不会受到更改的影响)。 更改生效后,通过 SSH 连接到 GitHub 至少需要 OpenSSH 7.2 版本(2016 年发布)或 PuTTY 0.75 版本(今年 6 月发布)。 例如,与不再受支持的 CentOS 14.04 和 Ubuntu XNUMX 中包含的 SSH 客户端的兼容性将被破坏。
这些更改包括取消对 Git 未加密调用(通过“git://”)的支持,并增加了访问 GitHub 时使用的 SSH 密钥的要求。 GitHub 将停止支持所有 DSA 密钥和旧版 SSH 算法,例如 CBC 密码(aes256-cbc、aes192-cbc aes128-cbc)和 HMAC-SHA-1。 此外,还引入了对新 RSA 密钥的附加要求(将禁止使用 SHA-1),并且正在实施对 ECDSA 和 Ed25519 主机密钥的支持。
变化将逐步引入。 14 月 25519 日,将生成新的 ECDSA 和 Ed2 主机密钥。 1 月 16 日,将停止对新的基于 SHA-11 的 RSA 密钥的支持(之前生成的密钥将继续有效)。 2022 月 15 日,将停止对基于 DSA 算法的主机密钥的支持。 XNUMX 年 XNUMX 月 XNUMX 日,作为实验,对旧版 SSH 算法的支持以及无需加密的访问功能将暂时停止。 XNUMX 月 XNUMX 日,将完全禁用对旧算法的支持。
此外,我们可以注意到 OpenSSH 代码库已进行默认更改,禁用基于 SHA-1 哈希(“ssh-rsa”)的 RSA 密钥处理。 对具有 SHA-256 和 SHA-512 哈希值 (rsa-sha2-256/512) 的 RSA 密钥的支持保持不变。 停止支持“ssh-rsa”密钥是因为给定前缀的冲突攻击效率提高了(选择冲突的成本估计约为 50 万美元)。 要测试 ssh-rsa 在您的系统上的使用情况,您可以尝试使用“-oHostKeyAlgorithms=-ssh-rsa”选项通过 ssh 连接。
来源: opennet.ru