2022年6月15日 11:09 AM
GitリポジトリへのSSHアクセスに関連するセキュリティアップデートのお知らせ
Backlogを全てのお客様に安心してご利用いただくために、GitリポジトリへのSSHアクセスに関連するセキュリティアップデートを実施します。
お知らせ
- 2022年7月20日以降、DSA鍵のサポートを廃止します
- 2022年6月29日以降、サポートするホスト鍵を追加します
- サポートする鍵交換アルゴリズムを追加しました
2022年7月20日以降、DSA鍵のサポートを廃止します
Backlogはお客様のデータ保護の観点から、DSA鍵のサポートを廃止することを決定しました。DSA鍵の新規登録は既に廃止していますが、登録済のDSA鍵の使用も2022年7月20日以降順次廃止します。これにより、DSA鍵を使用したGitリポジトリへのSSH接続は拒否されます。
もしDSA鍵を使用している場合は、Ed25519鍵のような新しいSSH鍵を再度生成して、公開鍵をBacklogに登録してください。
サポートする鍵の種類
| 公開鍵 | 従来 | アップデート後 |
| DSA (ssh-dss) | ● | |
| RSA (ssh-rsa) | ● | ● |
| ECDSA (ecdsa-sha2-nistp256) | ● | ● |
| ECDSA (ecdsa-sha2-nistp384) | ● | ● |
| ECDSA (ecdsa-sha2-nistp521) | ● | ● |
| Ed25519 (ssh-ed25519) | ● | ● |
2022年6月29日以降、サポートするホスト鍵を追加します
現在BacklogはRSAのホスト鍵のみサポートしていますが、2022年6月29日以降、より信頼性の高いアルゴリズムとしてEd25519とECDSAのホスト鍵を新たに追加します。
※ホスト鍵のフィンガープリントはご利用のスペースのドメイン毎に異なります
現在サポートするホスト鍵のフィンガープリント
backlog.com
SHA256:w1Lng4UpfjBOloZubOkoIusr/eYXc6lBfxcaLlogfI0 (RSA)
backlog.jp
SHA256:vUgu+kx0TNpk/3Za77SIWd/+3nNsamN/C/+ncbV/20g (RSA)
backlogtool.com
SHA256:k2BHOprr/aZuR9+o8w8lprARH8R8myxv/76VGUUxEB0 (RSA)
追加でサポートするホスト鍵のフィンガープリント
backlog.com
SHA256:E6NTT1A1jvvgei4BLRD4O7cLPzBZjnIMJryC3JrOdx4 (ECDSA)
SHA256:vn0Iu2jrdSZZalB/VFEvrBSHYKig1KqsRSqU4HOdkDc (Ed25519)
backlog.jp
SHA256:M84ONmM/9bPog2blAZi7aiJ9/vpjNaCLsCqu61gnm6Q (ECDSA)
SHA256:S+rudHUgqeXOctYndOfk00EPe3oBTrFrklXb0wUvO3U (Ed25519)
backlogtool.com
SHA256:4sOD8NibICvJ6R/WyM7VfNPvXmfTksVMWg9IsnznAD8 (ECDSA)
SHA256:4lgwdzpzNRgfOzpOdcXeH0r5cWJdLAwGA2y7wGVGptM (Ed25519)
UpdateHostKeysオプションで複数のホスト鍵を受け取る
クライアントが複数のホスト鍵を受信するには、OpenSSH 6.8で追加されたUpdateHostKeysオプションをsshのconfigで有効にする必要があります。
※このオプションはOpenSSH 8.5からデフォルトで有効(UpdateHostKeys yes)になっています。
設定の例: ~/.ssh/configでUpdateHostKeysをyesかaskを設定してください。
UpdateHostKeys yes
UpdateHostKeys ask
サポートする鍵交換アルゴリズムを追加しました
新たに、diffie-hellman-group14-sha256とcurve25519-sha256の鍵交換アルゴリズムを使用できるようになりました。
sshのconfigで鍵交換アルゴリズムを固定していなければ、クライアントとサーバーのネゴシエーションにより、自動的に使用する鍵交換アルゴリズムを決定するため、お客様で別途設定を変更していただく必要はありません。
サポートする鍵交換アルゴリズム
| 鍵交換アルゴリズム | 従来 | 現在 |
| diffie-hellman-group14-sha1 | ● | ● |
| diffie-hellman-group14-sha256 | ● | |
| ecdh-sha2-nistp256 | ● | ● |
| ecdh-sha2-nistp384 | ● | ● |
| ecdh-sha2-nistp521 | ● | ● |
| curve25519-sha256@libssh.org | ● | ● |
| curve25519-sha256 | ● |
BacklogのGitリポジトリへのSSHアクセスに関連するセキュリティアップデートのお知らせは以上となります。Backlogを全てのお客様に安心してご利用いただくためにも、ぜひご理解とご協力いただければ幸いです。
本件に関するご質問やフィードバックは問い合わせより受け付けております。