GitHub przypadkowo publikuje klucze hosta RSA SSH i wystawia • dziennik aktualizacji

GitHub zaktualizował swoje klucze SSH po przypadkowym opublikowaniu części prywatnej na całym świecie. Przepraszam.

A Poczta Na blogu dotyczącym bezpieczeństwa Github firma ujawnia, że ​​zmieniła klucze hosta RSA SSH. Spowoduje to błędy połączenia i kilka przerażających komunikatów ostrzegawczych dla wielu programistów, ale wszystko jest w porządku: to nie jest straszna aktywność crackingu, tylko zwykły stary błąd ludzki.

GitHub firmy Microsoft to największy stos kodu źródłowego na świecie, z szacunkową liczbą 100 milionów aktywnych użytkowników użytkownicy. Więc to zdenerwuje A.J bardzo ludzi. od publiczności. To nie koniec świata: jeśli zwykle pchasz i ciągniesz do GitHub przez SSH – co robi większość ludzi – będziesz musiał usunąć lokalny klucz GitHub SSH i pobrać nowe.

Jak opisuje post na blogu, pierwszym objawem jest alarmujący komunikat ostrzegawczy:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Dla prawie wszystkich to ostrzeżenie jest fałszywe. Nie to, że jesteś atakowany – chociaż prawie zawsze tak jest daleko (Ha ha, po prostu poważnie) Możliwość – jest taka, że ​​GitHub unieważnił swoje stare klucze i opublikował nowe. Obowiązuje Kodeks Brzytwy Hanlona, ​​tak jak najczęściej:

(Słowo głupota Często jest zastępowany przez niekompetencjaale wtedy jedno prowadzi do drugiego).

Tym razem przyczyną był — jak zwykle — zwykły ludzki błąd. Ktoś opublikował GitHub prywatny Klucze RSA znajdują się w repozytorium w samym GitHub. Jeśli nie masz pewności, jak działa szyfrowanie SSH, co do kluczy publicznych i prywatnych lub różnych algorytmów szyfrowania używanych przez SSH, jest kilka dobrych. wyjaśnienia poza.

W skrócie i nie tylko rej Czytelnicy wiedzą, że dobrze jest ujawniać, publikować i udostępniać ogólny klucze, ale twoje prywatny Klucze muszą być trzymane w tajemnicy. Jeśli się wydostaną — na przykład, jeśli ktoś przypadkowo opublikuje je w głośnej witrynie internetowej — każdy, kto je ma, może udawać, że jest tobą. To jest złe.

SSH obsługuje alternatywne szyfrowanie Algorytmy do RSA w celu uzyskania kluczy i GitHub Również Posiada również klucze ECDSA i Ed25519. Nie zostały one opublikowane, więc nie uległy zmianie.

GitHub nie mówi, kto i gdzie opublikował klucze, co jest całkowicie w porządku, ale podejrzewamy, że informacje mogą później wycieknąć. W każdym razie dzisiaj o godzinie 0500 UTC RSA zmienił się na nowy, więc powinieneś postępować zgodnie z instrukcjami w poście na blogu, usunąć stary klucz i jak najszybciej dodać nowy. ®

botnot

Sam kod Hanlona jest następstwem Prawo Fingle’a: Cokolwiek może pójść źle, pójdzie źle. Jako cyniczny, ale dość dobry tego przykład, Robert J. Hanlon może być trochę snobem mylnie cytować Robert A. Heinlein, podobnie jak Heinlein Razor.