GitHub hat SSH-Schlüssel für Benutzer von Git-Clients blockiert, die die Keypair-JavaScript-Bibliothek zum Generieren von Schlüsseln verwenden. Beispielsweise wurden die Schlüssel des Git-Clients GitKraken blockiert. Die Schwachstelle führt zur Generierung vorhersagbarer RSA-Schlüssel aufgrund eines Fehlers, der die Qualität der Entropie bei der Generierung einer Zufallssequenz für die Schlüssel erheblich verringert. Das Problem wurde in den Versionen keypair 1.0.4 und GitKraken 8.0.1 behoben.
Der Grund für die Schwachstelle war die Verwendung des Aufrufs „b.putByte(String.fromCharCode(next & 0xFF))“ während des Schlüsselbildungsprozesses, obwohl die fromCharCode-Methode in der putByte-Methode erneut aufgerufen wurde. Der zweimalige Aufruf von fromCharCode („String.fromCharCode( String.fromCharCode(next & 0xFF)“) führte dazu, dass der größte Teil des Entropiepuffers mit Nullen gefüllt war, d. h. Der Schlüssel wurde auf Basis „zufälliger“ Daten generiert, die zu 97 % aus Nullen bestanden.
Source: opennet.ru