GitHub የቁልፍ ጥምር ጃቫ ስክሪፕት ላይብረሪ ለሚጠቀሙ የጂት ደንበኞች ተጠቃሚዎች የኤስኤስኤች ቁልፎችን አግዷል። ለምሳሌ የ Git ደንበኛ GitKraken ቁልፎች ታግደዋል። ተጋላጭነቱ ለቁልፎቹ የዘፈቀደ ቅደም ተከተል በሚፈጠርበት ጊዜ የኢንትሮፒን ጥራት በከፍተኛ ሁኔታ በሚቀንስ ስህተት ምክንያት ሊገመቱ የሚችሉ የ RSA ቁልፎችን ወደ ማመንጨት ያመራል። ችግሩ በቁልፍ ጥንድ 1.0.4 እና GitKraken 8.0.1 ልቀቶች ላይ ተስተካክሏል።
የተጋላጭነቱ ምክንያት በቁልፍ ምስረታ ሂደት የ"b.putByte(String.fromCharCode(ቀጣይ እና 0xFF))" ጥሪን መጠቀም ነበር ምንም እንኳን የቻርኮድ ዘዴ በ putByte ዘዴ እንደገና ቢጠራም። ከCharCode ሁለት ጊዜ በመደወል ("String.fromCharCode(String.fromCharCode(ቀጣይ እና 0xFF)")) አብዛኛው የኢንትሮፒ ቋት በዜሮዎች ተሞልቷል፣ ማለትም። ቁልፉ የተፈጠረው "በዘፈቀደ" መረጃ ላይ የተመሰረተ ነው, 97% ዜሮዎችን ያካትታል.
ምንጭ: opennet.ru