GitHub-beveiliging: niet-versleutelde Git-logboeken zijn binnenkort geschiedenis


GitHub neemt momenteel maatregelen om de beveiliging van de coderepositories die het host te vergroten. Zoals het Git-systeemteam in een blogbericht heeft aangekondigd, is een versleuteld Git-protocol nu verplicht bij het pushen en ophalen van Git-gegevens. De wijzigingen zijn van invloed op enkele sleutels die worden ondersteund in SSH, en volgens het systeemteam behoren niet-versleutelde Git-protocollen nu tot het verleden.

GitHub ondersteunt niet langer DSA-sleutels (Digital Signature Algorithm) en sommige oudere SSH-algoritmen zoals HMAC-SHA-1 en CBC Ciphers zijn niet langer van toepassing. Vooral dat laatste had een gemakkelijk doelwit moeten worden voor aanvallers. Er zijn twee nieuwe hostsleutels toegevoegd voor SSH (ECDSA en Ed25519), die gebaseerd zijn op a elliptische kromme cryptografie zijn gebasseerd. Nieuw toegevoegde RSA-sleutels (Rivest-Shamir-Adleman) zullen in de toekomst onderworpen zijn aan aanvullende beveiligingsvereisten via een SHA-2-handtekening.

Volgens het systeemteam zouden de meeste gebruikers hun werk echter zonder beperkingen moeten kunnen voortzetten: alleen degenen die inloggen via SSH of git:// verbinding maakt met repositories wordt, volgens de aankondiging, beïnvloed. Aan de andere kant, als je eigen Git begint met https://, er is geen overlast in huis. GitHub heeft onlangs wachtwoordverificatie voor Git Actions laten vallen: Hoewel de coderingsvereiste voor Git-protocollen er geen technische verbinding mee heeft, zijn beide innovaties volgens het blogbericht Onderdeel van een GitHub-campagne om gebruikersgegevens te beveiligen.

Het feit dat GitHub bijvoorbeeld oudere sleuteltypen en sommige algoritmen voor ondertekening opgeeft, is volgens het systeemteam te wijten aan beveiligingsproblemen als gevolg van toenemende aanvallen en nieuwe aanvalsmethoden. Wat decennia geleden als veilig werd beschouwd, hoeft dat vandaag niet meer te zijn, is het motto. DSA-sleutels hebben slechts een beveiligingsniveau van 80 bits; de huidige standaard is 128 bits. De meeste GitHub-gebruikers zouden zich hiervan bewust moeten zijn, want volgens interne statistieken van de codehost maakt ruim één procent van de GitHub-verzoeken gebruik van DSA (0,3 procent). GitHub wil in de toekomst ook de DSA-hostsleutel verwijderen.

GitHub: Verzoeken gespreid volgens type handtekening

(Afbeelding: GitHub)

RSA-sleutels worden als veiliger beschouwd (ssh-rsa), maar bij oudere Git-clients worden ze vaak gebruikt in combinatie met verouderde handtekeningalgoritmen (SHA-1-gebaseerd). Combinaties van RSA en SHA-2 handtekening, inclusief OpenSSH vanaf versie 7.2 (rsa-sha2-256 en rsa-sha2-512). SHA-1, dat als te zwak wordt beschouwd, is de reden waarom GitHub nieuwe RSA-clients dwingt om SHA-2-handtekeningen te gebruiken. Desalniettemin zijn gebruikers in eerste instantie vrij om SHA-1-handtekeningen te blijven gebruiken, op voorwaarde dat hun sleutels beschikbaar zijn valid_after-Datum vóór de deadline. Voor alle sleutels die na 2 november 2021 zijn gemaakt, is een SHA-2-handtekening vereist.

Het Git-team heeft een schema gedeeld voor de komende wijzigingen, dus de nieuwe hostsleutels zouden al op 14 september 2021 beschikbaar moeten zijn, via de UpdateHostKeys-Verlenging. Het team noemt de rest van het proces een “brownout”, wat waarschijnlijk een stapsgewijze afsluiting is: vanaf 2 november is de optie om RSA-sleutels met het SHA-1-algoritme in te stellen niet langer van toepassing en SHA-2 wel. bindend zijn. De twee hostsleutels ECDSA en Ed25519 zouden vanaf 16 november volledig operationeel moeten zijn, terwijl tegelijkertijd de vorige DSA-hostsleutel uit de ondersteuning wordt gehaald.

De zogenaamde brownout zou op 11 januari 2022 moeten zijn voltooid: vanaf deze datum accepteert GitHub geen nieuwe sleutel- en handtekeningtypen die als verouderd zijn gemarkeerd, en mogen ciphers, MAC’s en niet-versleutelde Git-protocollen niet langer opnieuw worden gemaakt. Volgens het team zal het einde van de DSA-sleutels in steen worden gezet vanaf 15 maart 2022 en zullen de gerichte wijzigingen vanaf deze datum permanent van toepassing zijn.

Iedereen die repositories op GitHub beheert, moet zijn sleutels in dit tijdvenster controleren en, indien nodig, problemen met SSH- of Git-protocollen oplossen. Meer informatie hierover is te vinden in het blogbericht van het Git-systeemteam.


(sih)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: