בעיה:
בעת התקנת ערכת נושא או רכיב ממאגר Git פרטי באמצעות האפשרות “התקן ממאגר Git”, Discourse יוצר אוטומטית זוג מפתחות SSH מסוג RSA בגודל 2048 סיביות עבור המשתמש להוספה כמפתח פריסה.
שרת ה-Git הפרטי שלנו (Gitea, אם כי הדבר ישפיע על כל מארח Git מודע לאבטחה) כולל מדיניות אבטחה שדוחה מפתחות RSA בגודל 2048 סיביות, ודורשת מינימום של 3072 סיביות. הדבר עולה בקנה אחד עם שיטות עבודה מומלצות מודרניות לאבטחה, שכן RSA בגודל 2048 סיביות נחשב כעת למינימום הסטנדרטי ומוצא בהדרגה מהשימוש (NIST ממליץ לעבור לאלגוריתמים חזקים יותר עד 2030).
בקשת תכונה:
ברצוני לבקש שיפור לתכונה זו כדי לספק אפשרויות יצירת מפתחות מאובטחות וגמישות יותר. באופן אידיאלי, הממשק יוכל:
-
ליצור מפתח חזק יותר כברירת מחדל: לעבור ליצירת מפתחות Ed25519, שהם מאובטחים יותר, מהירים יותר ובעלי תאימות טובה יותר למדיניות אבטחה מודרנית מאשר RSA בגודל 2048 סיביות.
-
לספק אפשרות תצורה: לאפשר למנהלי מערכת לציין את אלגוריתם מפתח ה-SSH המועדף ואת חוזקו (למשל, ב-
discourse.conf) עם אפשרויות כמוrsa:3072,rsa:4096אוed25519.
תודה על התחשבות בשיפור זה. אני מאמין שזה יהיה שיפור בעל ערך לאבטחה ולמקצועיות של פלטפורמת Discourse.