GitHub het SSH-sleutels geblokkeer vir gebruikers van Git-kliënte wat die sleutelpaar JavaScript-biblioteek gebruik om sleutels te genereer. Byvoorbeeld, die sleutels van die Git-kliënt GitKraken is geblokkeer. Die kwesbaarheid lei tot die generering van voorspelbare RSA-sleutels as gevolg van 'n fout wat die kwaliteit van entropie aansienlik verminder wanneer 'n ewekansige volgorde vir die sleutels gegenereer word. Die probleem is opgelos in sleutelpaar 1.0.4 en GitKraken 8.0.1 vrystellings.
Die rede vir die kwesbaarheid was die gebruik van die “b.putByte(String.fromCharCode(next & 0xFF))”-oproep tydens die sleutelgenereringsproses, ten spyte van die feit dat die fromCharCode-metode weer in die putByte-metode opgeroep is. Om twee keer vanafCharCode te roep ("String.fromCharCode( String.fromCharCode(next & 0xFF)") het daartoe gelei dat die meeste van die entropiebuffer met nulle gevul is, d.w.s. die sleutel is gegenereer op grond van "ewekansige" data, 97% wat uit nulle bestaan.
Bron: opennet.ru