GitHub publica claves de host RSA SSH por error, publica actualización • The Register

GitHub actualizó sus claves SSH después de liberar accidentalmente la parte privada al mundo. ¡Vaya!

A trabajo en el blog de seguridad de Github revela que la empresa ha cambiado sus claves de host RSA SSH. Esto va a causar errores de conexión y mensajes de advertencia aterradores para muchos desarrolladores, pero está bien: no es una actividad de cracker aterradora, solo un viejo error humano.

La subsidiaria de Microsoft, GitHub, es la cabaña de código fuente más grande del mundo, con alrededor de 100 millones de activos. usuarios. Por lo tanto, esto interferirá con un trama de la gente. No es el fin del mundo: si normalmente empuja y tira de GitHub a través de SSH, lo que hace la mayoría de las personas, deberá eliminar su clave SSH de GitHub local y obtener una nueva.

Como se describe en la publicación del blog, el primer síntoma es un mensaje de advertencia alarmante:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Para casi todos, esta advertencia es engañosa. No es que estés bajo ataque, aunque sigue siendo una remoto (jaja, en serio) posibilidad – es que GitHub haya revocado sus claves antiguas y lanzado otras nuevas. La navaja de afeitar de Hanlon se aplica, como lo hace con mayor frecuencia:

(La palabra estupidez a menudo se reemplaza por incompetenciapero entonces, uno tiende a conducir al otro.)

Esta vez la razón fue, como siempre, un simple error humano. Alguien publicó GitHub privado Claves RSA en un repositorio en el propio GitHub. Si no sabe cómo funciona el cifrado SSH, las claves públicas frente a las privadas, o los diferentes algoritmos criptográficos utilizados por SSH, hay muchos buenos explicaciones allí.

En resumen y como la mayoría registro los lectores saben que es hermoso y bueno revelar, publicar y compartir audiencia llaves, pero tu privado las claves deben permanecer en secreto. Si aparecen, por ejemplo, si alguien los publica accidentalmente en un sitio web de alto perfil, cualquiera que los tenga puede hacerse pasar por usted. Es malo.

SSH admite criptografía alternativa algoritmos a RSA por sus claves, y GitHub también también tiene claves ECDSA y Ed25519. Estos no se han publicado, por lo que no han cambiado.

GitHub no dice quién publicó las claves ni dónde, lo cual está perfectamente bien, pero sospechamos que la información podría filtrarse más adelante. De todos modos, a las 0500 UTC de hoy cambió el RSA por uno nuevo, por lo que debe seguir las instrucciones en la publicación del blog, eliminar la clave anterior y agregar las nuevas lo antes posible. ®

Nota de arranque

La propia navaja de Hanlon es un corolario de Ley de Fingle: Cualquier cosa que pueda ir mal, irá mal. Y como un ejemplo irónico pero bastante bueno de esto, bien puede ser que Robert J. Hanlon fuera en realidad un poco citar mal Robert A. Heinlein, por lo que realmente debería ser la navaja de afeitar de Heinlein.