GitHub에서 SSH 액세스를위한 쿼터 보안 후 보안
오늘 우리는 SSH를 통해 GIT 데이터에 액세스하는 보안을 향상시킬 몇 가지 변경 사항을 발표하고 있습니다.
무엇이 바뀌고 있습니까?
우리는 대안으로 알려진 새로운 쿼터 보안 SSH 키 교환 알고리즘을 추가하고 있습니다. sntrup761x25519-sha512 그리고 [email protected]GIT 데이터에 액세스하기위한 SSH 엔드 포인트에.
이것은 SSH 액세스에만 영향을 미치며 HTTPS 액세스에 전혀 영향을 미치지 않습니다.
또한 미국 지역의 데이터 레지던트와 함께 Github Enterprise Cloud에도 영향을 미치지 않습니다.
우리는 왜 이러한 변화를하고 있습니까?
이러한 변화는 양자 컴퓨터에서 수행 된 미래의 암호 해독 공격으로부터 보호되도록함으로써 데이터를 안전하게 보호 할 것입니다.
SSH 연결을 만들 때 키 교환 알고리즘은 비밀에 동의하는 데 사용됩니다. 그런 다음 비밀은 암호화 및 무결성 키를 생성하는 데 사용됩니다. 오늘날의 주요 교환 알고리즘은 안전하지만, 양자 컴퓨터가 수행 한 암호화 공격에 대해 안전한 새로운 것들이 도입되고 있습니다.
우리는 전통적인 키 교환 알고리즘을 깨뜨릴만큼 강력한 양자 컴퓨터를 생산할 수 있을지 모르겠습니다. 그럼에도 불구하고, 공격자는 암호화 된 세션을 지금 저장할 수 있으며, 적절한 양자 컴퓨터가 향후 내장되어 있으면 나중에 해독 할 수 있습니다. 이것을 “지금 상점, 나중에 해독”공격으로 알려져 있습니다.
SSH를 사용할 때 Github로 트래픽을 보호하기 위해 하이브리드 쿼터 키 교환 알고리즘을 출시하고 있습니다. sntrup761x25519-sha512 (오래된 이름으로도 알려져 있습니다 [email protected]). 이는 새로운 쿼터 보안 알고리즘, 간소화 된 NTRU 프라임을 X25519 곡선을 사용한 고전적인 타원 곡선 Diffie-Hellman 알고리즘과 결합하여 양자 컴퓨터에 대한 보안을 제공합니다. 이러한 퀘스트 후 알고리즘이 더 새롭고 테스트가 적은 테스트를 받았지만 고전적인 알고리즘과 결합하면 보안이 고전적인 알고리즘이 제공하는 것보다 약하지 않도록합니다.
이러한 변경 사항은 Github.com 및 비 US 거주자 Github Enterprise Cloud 지역으로 출시됩니다. FIPS 승인 암호화 만 미국 지역 내에서 사용될 수 있으며이 퀘스트 후 알고리즘은 FIP에 의해 승인되지 않습니다.
이러한 변화는 언제 효과적입니까?
2025 년 9 월 17 일 github.com 및 Github Enterprise Cloud (미국 지역 제외)을 갖춘 Github Enterprise Cloud의 새로운 알고리즘을 활성화합니다.
이것은 Github Enterprise Server 3.19에도 포함됩니다.
어떻게 준비합니까?
이 변경은 SSH를 통한 GIT 클라이언트와의 연결에만 영향을 미칩니다. GIT 리모컨으로 시작하는 경우 https://이 변화에 영향을받지 않을 것입니다.
대부분의 용도로 새로운 키 교환 알고리즘은 눈에 띄는 변경을 초래하지 않습니다. SSH 클라이언트가 지원하는 경우 [email protected] 또는 sntrup761x25519-sha512 (예를 들어, Openssh 9.0 이상)는 클라이언트가 선호하는 경우 기본적으로 새 알고리즘을 자동으로 선택합니다. 클라이언트의 기본값을 수정하지 않으면 구성 변경이 필요하지 않습니다.
이전 SSH 클라이언트를 사용하는 경우 클라이언트가 이전 키 교환 알고리즘으로 돌아 가야합니다. 즉, 업그레이드 할 때까지 퀘 폭스 알고리즘을 사용하면 보안 이점을 경험하지 않지만 SSH 프로토콜은 양측을 지원하는 알고리즘을 자동으로 선택하므로 SSH 경험은 정상적으로 계속 작동해야합니다.
OpenSsh 버전 이이 알고리즘을 지원하는지 테스트하려면 다음 명령을 실행할 수 있습니다. ssh -Q kex. 지원되는 모든 주요 교환 알고리즘이 나열되어 있으므로 sntrup761x25519-sha512 또는 [email protected]그런 다음 지원됩니다.
github.com에 연결할 때 어떤 키 교환 알고리즘이 사용하는지 확인하려면 Linux, MacOS, Git Bash 또는 기타 UNIX- 유사 환경에서 다음 명령을 실행하십시오.
$ ssh -v [email protected] exit 2>&1 | grep 'kex: algorithm:'SSH의 다른 구현은 해당 구현에 대한 문서를 참조하십시오.
다음은 무엇입니까?
우리는 보안의 최신 개발을 계속 주시합니다. 우리가 사용하는 SSH 라이브러리는 FIP를 준수하는 추가 쿼터 알고리즘을 지원하기 시작하므로 오퍼링에 대한 업데이트 우리를 업데이트 할 것입니다.
작성자가 작성했습니다
Post Comment