GitHubov zasebni RSA SSH ključ pomotoma izpostavljen v javnem skladišču

GitHub, podružnica Microsofta, je zamenjala svoje ključe SSH, potem ko je nekdo nenamerno objavil del njegovega zasebnega gostiteljskega ključa RSA SSH v shemi šifriranja v odprtem repozitoriju GitHub.

Medtem ko se nekateri morda prestrašijo, če domnevajo, da so bili zasebni ključi razkriti zaradi zlonamerni namen akterja grožnje, v resnici se je to zgodilo zaradi človeške napake. Obstajajo zasebne in javne različice ključev SSH in čeprav je javne ključe mogoče deliti ali objaviti, je bistveno, da zasebni ključi ostanejo … no, zasebni. Čeprav GitHub ni razkril, kdo je objavil ključe ali kje so bili objavljeni, so skrbniki na svojem blogu objavili razlago situacije.

»Ta teden smo odkrili, da je bil zasebni ključ RSA SSH GitHub.com za kratek čas izpostavljen v javnem repozitoriju GitHub. Takoj smo ukrepali, da bi omejili izpostavljenost, in začeli raziskovati, da bi razumeli glavni vzrok in vpliv. Zdaj smo zaključili zamenjavo ključa in uporabniki bodo videli, kako se sprememba širi v naslednjih tridesetih minutah,« GitHub navaja v objavi v blogu.

GitHub je zamenjal gostiteljski ključ RSA SSH, da bi zaščitil svoje uporabnike pred možnostjo, da bi nasprotnik videl zasebni ključ. Akterji groženj bi ga lahko uporabili za spremljanje uporabnikovih operacij ali za lažno predstavljanje GitHub za nadaljnje napade. 

Objava v blogu je pojasnila, da sprememba ne vpliva na nobene podatke o strankah, ne zahteva nobene spremembe za ECDSA ali Ed25519 ali infrastrukturo GitHub - samo operacije "prek SSH z uporabo RSA."

Če uporabniki vidijo opozorilno sporočilo, bodo morali odstraniti stare ključe na tri možnosti: ročno posodobiti datoteko, da odstranijo stari vnos; izvajanje novega ukaza, ki ga je GitHub navedel na svojem blogu; ali prek samodejnih posodobitev, če so vklopljene. Ko bodo uporabniki videli prstni odtis, ki se glasi »SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s«, bodo preverili, ali so njihovi gostitelji povezani z novim ključem RSA SSH.