Problem:
Wenn ein Theme oder eine Komponente aus einem privaten Git-Repository über die Option „Aus einem Git-Repository installieren“ installiert wird, generiert Discourse automatisch ein 2048-Bit RSA SSH-Schlüsselpaar für den Benutzer, das als Deploy-Schlüssel hinzugefügt werden soll.
Unser privater Git-Server (Gitea, obwohl dies jeden sicherheitsbewussten Git-Host betreffen würde) hat eine Sicherheitspolitik, die 2048-Bit RSA-Schlüssel ablehnt und mindestens 3072 Bit erfordert. Dies steht im Einklang mit modernen Best Practices für Sicherheit, da 2048-Bit RSA inzwischen als Mindeststandard gilt und ausläuft (NIST empfiehlt den Übergang zu stärkeren Algorithmen bis 2030).
Feature-Anfrage:
Ich möchte eine Verbesserung dieser Funktion beantragen, um sicherere und flexiblere Schlüsselgenerierungsoptionen anzubieten. Idealerweise könnte die Benutzeroberfläche:
-
Standardmäßig einen stärkeren Schlüssel generieren: Wechseln Sie zur Generierung von Ed25519-Schlüsseln, die sicherer, schneller und besser mit modernen Sicherheitspolitiken kompatibel sind als 2048-Bit RSA.
-
Eine Konfigurationsoption bereitstellen: Ermöglichen Sie Administratoren, den bevorzugten SSH-Schlüsselalgorithmus und die Stärke anzugeben (z. B. in
discourse.conf) mit Optionen wiersa:3072,rsa:4096odered25519.
Vielen Dank für die Berücksichtigung dieser Verbesserung. Ich glaube, dass dies eine wertvolle Verbesserung für die Sicherheit und Professionalität der Discourse-Plattform wäre.