GitHub меняет ключ RSA SSH, так как он случайно попал в открытый доступ

Рекомендуем почитать:

Xakep #304. IP-камеры на пентестах

• Содержание выпуска
• Подписка на «Хакер»-60%

Разработчики GitHub сообщили, что заменили приватный ключ RSA SSH, используемый для защиты Git-операций. В компании уверяют, что это лишь мера предосторожности, но замена понадобилась в силу того, что прошлый ключ был случайно опубликован в общедоступном репозитории.

В блоге представители GitHub признают, что на прошлой неделе выяснилось, что закрытый ключ RSA SSH для GitHub.com был ненадолго раскрыт в общедоступном репозитории.

«Мы немедленно приняли меры по сдерживанию распространения и начали расследование, чтобы понять первопричину [утечки] и ее последствия», — пишет Майк Хэнли, глава безопасности GitHub и старший вице-президент по инженерным вопросам.

Однако в компании не сообщают, когда именно ключ был раскрыт? и как долго он находится в открытом доступе. При этом GitHub уверяет, что «нет никаких оснований полагать», что раскрытым ключом злоупотребляли, подчеркивая, что все это лишь мера предосторожности.

Из-за замены ключа пользователи могут столкнуться с сообщением, приведенным ниже.

Разработчики говорят, что в этом случае нужно удалить старый ключ, выполнив команду $ ssh-keygen -R github.com или вручную обновить файл ~/.ssh/known_hosts, чтобы удалить старую запись.

Актуальные отпечатки ключей GitHub перечислены ниже.

SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s (RSA);
SHA256:br9IjFspm1vxR3iA35FWE+4VTyz1hYVLIE2t1/CeyWQ (DSA — не рекомендуется);
SHA256:p2QAMXNIC1TJYWeIOttrVc98/R1BUFWu3/LiyKgUfQM (ECDSA);
SHA256:+DiY3wvvV6TuJJhbpZisF/zLDA0zPMSvHdkr4UvCOqU (Ed25519).