Backlog リリース：Git SSH 接続のセキュリティ向上のため、利用できる鍵交換アルゴリズムを追加し、古いものを一部廃止します。

いつも Backlog をご利用いただきありがとうございます。

今年の8月に入社し、Backlog SRE チームのメンバーとなった吉澤です。前職ではソフトウェア開発者として働いていましたが、DevOps 的な活動にも長年興味があり、このたびヌーラボに参加しました。これからよろしくお願いします。

本日は、2018年1月に予定している Backlog リリースについて、事前にご連絡します。一部のお客様では、設定変更が必要になる可能性がありますので、以下の内容をご確認お願いします。

変更点

• SSH 接続のセキュリティを向上させるため、2018年1月10日(水)より順次、Git SSH 接続でサポートする公開鍵および鍵交換アルゴリズムを変更します
• Git クライアントで古い鍵交換アルゴリズムを設定している場合は、事前に設定を変更いただく必要があります

サポートする公開鍵の追加

アップデート後は、新たに楕円曲線 DSA（Elliptic Curve Digital Signature Algorithm、ECDSA）の公開鍵を登録できるようになります。現在 Backlog に登録頂いている公開鍵は、すべてそのままお使いいただけます。

backlog の画面上では、すでに楕円曲線 DSA の公開鍵を登録できますが、Git SSH 接続にお使いいただけるのは2018年1月に予定されているリリース後となります。

サポートする鍵交換アルゴリズムの追加および一部廃止

現在では安全でないとされている diffie-hellman-group1-sha1 を廃止いたします。鍵交換アルゴリズムを diffie-hellman-group1-sha1 に固定している環境では、アップデート後に Git SSH 接続ができなくなります。

また、今回のアップデートで、新たに4種類の鍵交換アルゴリズムが追加されます。これにより、Git SSH 接続時のセキュリティが向上します。

鍵交換アルゴリズムのご確認方法

Git SSH 接続に利用しているソフトウェアのマニュアルをご参照いただき、現在お使いの鍵交換アルゴリズムをご確認ください。もし古い鍵交換アルゴリズム（diffie-hellman-group1-sha1）をお使いの場合は設定の更新をお願いします。以下は git コマンドの場合の例です。

例：git コマンドの場合

git コマンドは、SSH 接続に OpenSSH を使用しています。そのため、OpenSSH の設定ファイル（~/.ssh/config など）をご確認ください。以下のような設定がある場合、鍵交換アルゴリズムが diffie-hellman-group1-sha1 に固定されています。

KexAlgorithms diffie-hellman-group1-sha1

この設定がある場合、設定ファイルからこの行を削除していただくか、以下のように “+” を追加ください。これにより、diffie-hellman-group1-sha1 の廃止後も、他の鍵交換アルゴリズムで接続できるようになります。

KexAlgorithms +diffie-hellman-group1-sha1

diffie-hellman-group1-sha1 は、2015年8月にリリースされた OpenSSH 7.0 ではデフォルトで無効化されています。しかし、Backlog の git ssh サーバは、2015年12月まで、鍵交換アルゴリズムとして diffie-hellman-group1-sha1 しかサポートしておりませんでした。そのため、2015年8月〜12月の間に Backlog を利用されていた環境では、鍵交換アルゴリズムが diffie-hellman-group1-sha1 に固定されている可能性があります。

アップデートの適用時期

この変更は、2018年1月10日(水)より順次、お客様の各環境に適用いたします。お客様ごとにメンテナンス日は異なりますので、メンテナンス日が近づきましたら Backlog ログイン後に表示されるお知らせ欄でお伝えいたします。

セキュリティ向上のために必要な対策となりますので、当該鍵交換アルゴリズムをお使いの方は、お手数ではございますがご対応をお願いします。

今後とも、Backlogをよろしくお願いいたします！