GitHub 宣布對服務進行更改,以加強透過 SSH 或「git://」方案進行 git Push 和 git Pull 操作期間使用的 Git 協定的安全性(透過 https:// 的請求不會受到更改的影響)。更改生效後,透過 SSH 連接到 GitHub 至少需要 OpenSSH 7.2 版本(2016 年發布)或 PuTTY 0.75 版本(今年 6 月發布)。例如,與不再受支援的 CentOS 14.04 和 Ubuntu XNUMX 中包含的 SSH 用戶端的兼容性將被破壞。
這些變更包括取消對 Git 未加密呼叫(透過「git://」)的支持,並增加了存取 GitHub 時使用的 SSH 金鑰的要求。 GitHub 將停止支援所有 DSA 金鑰和舊版 SSH 演算法,例如 CBC 密碼(aes256-cbc、aes192-cbc aes128-cbc)和 HMAC-SHA-1。此外,還引入了對新 RSA 金鑰的附加要求(將禁止使用 SHA-1),並且正在實施對 ECDSA 和 Ed25519 主機金鑰的支援。
變化將逐步引入。 14 月 25519 日,將產生新的 ECDSA 和 Ed2 主機金鑰。 1 月 16 日,將停止對新的基於 SHA-11 的 RSA 金鑰的支援(先前產生的金鑰將繼續有效)。 2022 月 15 日,將停止對基於 DSA 演算法的主機金鑰的支援。 XNUMX 年 XNUMX 月 XNUMX 日,作為實驗,對舊版 SSH 演算法的支援以及無需加密的存取功能將暫時停止。 XNUMX 月 XNUMX 日,將完全停用對舊演算法的支援。
此外,我們可以注意到 OpenSSH 程式碼庫已進行預設更改,禁用基於 SHA-1 雜湊(「ssh-rsa」)的 RSA 金鑰處理。對具有 SHA-256 和 SHA-512 雜湊值 (rsa-sha2-256/512) 的 RSA 金鑰的支援保持不變。停止支援「ssh-rsa」金鑰是因為給定前綴的衝突攻擊效率提高了(選擇衝突的成本估計約為 50 萬美元)。要測試 ssh-rsa 在您的系統上的使用情況,您可以嘗試使用“-oHostKeyAlgorithms=-ssh-rsa”選項透過 ssh 連線。
來源: opennet.ru