問題:
「Git リポジトリからインストール」オプションを使用して、プライベート Git リポジトリからテーマまたはコンポーネントをインストールすると、Discourse はユーザーがデプロイキーとして追加するための 2048 ビット RSA SSH キーペアを自動的に生成します。
プライベート Git サーバー (Gitea、ただしこれはセキュリティを重視するあらゆる Git ホストに影響します) には、2048 ビット RSA キーを拒否するセキュリティポリシーがあり、最低 3072 ビットが必要です。これは最新のセキュリティベストプラクティスに沿ったものであり、2048 ビット RSA は現在最小基準と見なされており、段階的に廃止されています (NIST は 2030 年までに強力なアルゴリズムへの移行を推奨しています)。
機能リクエスト:
より安全で柔軟なキー生成オプションを提供するように、この機能の強化をリクエストしたいと思います。理想的には、インターフェイスは次のことができます。
-
デフォルトでより強力なキーを生成する: より安全で、高速で、2048 ビット RSA よりも最新のセキュリティポリシーとの互換性が高い Ed25519 キーの生成に移行します。
-
設定オプションを提供する: 管理者が (たとえば
discourse.confで)rsa:3072、rsa:4096、またはed25519のようなオプションを使用して、優先する SSH キーアルゴリズムと強度を指定できるようにします。
この強化をご検討いただきありがとうございます。Discourse プラットフォームのセキュリティとプロフェッショナリズムにとって価値のある改善になると信じています。