安全研究者警告使用弱SSH认证密钥可修改数个高调源码库
潜在脆弱存储库包括音乐流服务Spotify、俄罗斯互联网公司Yandex UK政府和DjangoWe应用框架
研究者BenCox使用平台特征之一收集用户公开SSH密钥访问GitHub托管库分析后发现对应私钥很容易取回多枚私钥
ssh协议使用公钥密码法,这意味着验证用户并加密他们的连接需要私钥对服务器配置接受用户SSH连接需要知道各自的公共密钥和用户需要拥有相应的私有密钥
如果使用强算法和足够大密钥大小,则不可能从公共密钥中恢复私有密钥Cox发现数大Github用户, 其中一些用户SSH访问一些大型广受欢迎的软件项目
研究者从Github收集1 376 262公共SSH密钥并判定其中97.7%使用RSA算法RSA目前推荐大小为2 048比特,而1024比特密钥的强度是可以商榷的,并正在推算过程中
Cox判定,在Github上发现的RSA公共SSH键中,93.9%有2 048位元,约4%有1024位元发现2键只有256比特和7键512比特,很容易破解
小型密钥并非最大问题发现许多其他密钥弱因OpenSSL包有故障2008年5月补丁.
ug于2006年9月启动并影响随机数生成器生成密钥时随机性源ssh和SSL键在那20个月里 创建Debian时 都只有32767个可能性 每一个CPU架构、密钥大小和密钥类型
攻击者很容易利用这种情况并破解使用合法用户账号的系统,Debian开发商和安全研究界建议所有当时可能受影响的人重造他们的密钥
似乎很多人不听话 弱密钥今天仍然使用 Cox比较从Github收集到的密钥时发现密钥黑名单基于debianug
Cox周二说道:“最可怕的部分是,任何人都可以翻遍所有这些键盘,试图把SSH注入GitHub看它给你的横幅。”博客文章.安全假设由于低输入屏障, 用户账号有故障应假设失密 允许键入被攻击者攻击
微弱密钥用户除自存库外, 还可以访问第三方项目, 包括Cox表示 : Spolite公共寄存器、Yandex公共寄存器、Python密码库、Python核心库、Django、gov.uk公共寄存器、Couchbase和红宝石大数CI系统使用
Cox表示Github5月初通知并撤销受Debianbug影响的密钥和6月初撤销其他低质量密钥
Cox在他的博客文章中表示:「如果你最近刚收到关于取消键子的邮件,