GitHub:未加密的Git协议即将成为历史后续的Git数据推送和拉取都必须使用加密的Git协议。这些变化将影响SSH支持的一些密钥,根据Git系统团队的说法,未加密的Git协议将因此成为历史。具体来说,GitHub不再支持DSA密钥(DigitalSignatureAlgorithm),一些传统的SSH算法,如HMAC-SHA-1、CBC等也不再适用。尤其是后者,CBC已成为当今攻击者频繁且容易攻击的目标。GitHub将为SSH添加两个新的主机密钥——ECDSA和Ed25519,这两个都是基于椭圆曲线密码学的新标准。还将添加对RSA密钥的要求(Rivest-Shamir-Adleman),并且将来SHA-2签名将满足额外的安全要求。该更改不会影响所有GitHub用户,但根据系统团队的说法,大多数用户不会受到此政策更改的影响。根据公告,只有那些通过SSH或git://连接到仓库的用户会受到影响,如果你自己的Git以https://开头,也不会受到影响。前段时间,GitHub也放弃了GitActions的密码认证。虽然Git协议的加密要求与其没有技术联系,但这两个变化是GitHub为保护用户数据安全所做的努力。移除旧的密钥类型GitHub团队表示,之所以放弃旧的密钥类型和一些签名算法,是因为越来越多的攻击和新的攻击方式很可能在原有技术下引发更多的攻击。安全问题。几十年前被认为安全的东西今天不一定适用。与当前的128位标准相比,DSA密钥只有80位安全级别。虽然GitHub用户应该或多或少意识到这一点,但根据GitHub内部统计,仍有0.3%的GitHub请求在使用DSA。移除不安全的签名算法现在很多SSH客户端包括OpenSSH7.2(rsa-sha2-256和rsa-sha2-512)和更新的版本都支持SHA-2和RSA的组合。虽然RSA密钥被认为更安全(ssh-rsa),但在较旧的Git客户端中,它们通常与过时的签名算法(基于SHA-1)结合使用。由于SHA-1签名算法的弱点,GitHub现在将强制新的RSA客户端使用SHA-2签名。尽管如此,用户现在可以继续使用SHA-1签名,但从2021年11月2日开始,所有密钥都需要使用SHA-2进行签名。这些变化何时生效?Git团队分享了即将发生的变化的时间表,新的主机密钥ECDSA和Ed25519,最早将于2021年9月14日通过UpdateHostKeys-Extension提供。从11月2日开始,可以使用以下选项设置RSA密钥SHA-1算法将不再可用,届时将强制执行SHA-2。两个新的主机密钥ECDSA和Ed25519将从11月16日开始全面运行,同时将不再支持以前的DSA主机密钥。本文转自OSCHINA本文标题:GitHub:未加密的Git协议即将成为历史本文地址:https://www.oschina.net/news/158632/improving-git-protocol-security-github
