BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース GithubがGitプロトコル、Dsaキー、レガシーSSHアルゴリズムのサポートを段階的に廃止

GithubがGitプロトコル、Dsaキー、レガシーSSHアルゴリズムのサポートを段階的に廃止

原文(投稿日:2021/09/27)へのリンク

GitHubは、顧客データを可能な限り保護することに重点を置いて、暗号化されていないGitプロトコル、DSAキー、そして、一部のレガシーSSHアルゴリズムのサポートをやめることを決定した。また、新しく追加されたRSAキーに対する要件を追加し、ECDSAおよびEd25519ホストキーSSHのサポートを提供する。この変更はSSHユーザと「git://」ユーザにのみ影響する可能性がある。一方で「https://」ユーザは影響を受けない。それでも、2021年9月中旬から2022年3月中旬まで、GitHubは安全性の低いテクノロジーを徐々に段階的に廃止し、より安全性の高いテクノロジーへの余地を作っていく。

GitHubは、顧客のデータを可能な限り安全に保つための取り組みの1つとしてHTTPSを介したパスワードのサポートをやめ、続いて、古いキータイプの使用をやめることにした。DSAキーは80ビットのセキュリティレベルで、現在の標準が128ビットであり、GitHubリクエストの0.3%未満しかDSAキーのリクエストを使用して行われていないことから、DSAキーを拒否しても、少数のユーザへの影響のみでセキュリティが向上すると考えている。次のステップとして、DSAホストキーのサポートも終了する予定である。

RSAキーはDSAキーよりも強力だが、一部の古いGitクライアントは、SHA-1を使う廃止予定の署名アルゴリズムと組み合わせてRSAキーを使う場合がある。OpenSSH 7.2以降の多くのSSHクライアントがRSA署名とSHA-2署名をサポートしているため、SHA-1署名のサポートは廃止され、SHA-2が要求されるようになった。期限(2021年11月2日)の前に有効化されているキーは、当面の間、SHA-1署名を引き続き使用できる。

SSHサービスは、hmac-sha1CBC暗号(aes256-cbc、aes192-cbc、aes128-cbc)などの安全でないアルゴリズムのサポートを終了する。CBC暗号への攻撃は非常に簡単に実行でき、同社はそのデータに基づいて、より優れた暗号化とMACアルゴリズムがあると考えている。

暗号化されていないgit://は整合性や認証を提供しないため、妨害を受ける可能性がある。GitHubで読み取り専用形式で公開されている(つまり、コードをプッシュできない)という事実からおそらく、まだ少数のユーザが使用している。しかし、そのサポートも終了する。

GitHubは、古い標準のサポートを終了するだけでなく、新しいホストキーのサポートを追加する。ECDSAEd25519は、楕円曲線暗号に基づく新しい標準である。これがサポートされることで、限られたサイズと計算量の増加で、優れたセキュリティ特性を提供される。直近は、OpenSSHのUpdateHostKeys拡張機能を使って提供される。この拡張機能は、安全な手法を使って、GitHubが提案する新しいキーを所有していることを証明する。

GitHubデータを可能な限り安全に保つための道を歩み続け、GitHubのGit Systemsチームは、攻撃の潜在的なターゲットとして主に知られている、古くて安全でないアルゴリズムとキーのサポートをやめることを決定した。この変更は、https上でのパスワードのサポートを最近終了したが、その後のものであり、セキュリティに関して常に時代の先頭を行くという利点がある。影響を受けるユーザを最小限に抑えるために、同社は影響を受けるユーザの割合が少ないことを確認し、明確なマイルストーン計画を提供した。また、どのようにして変更による影響を受けないようにするかのガイドも提供する。

この記事に星をつける

おすすめ度
スタイル

BT