GitHub hat SSH-kaaien blokkearre foar brûkers fan Git-kliïnten dy't de keypair JavaScript-bibleteek brûke om kaaien te generearjen. Bygelyks, de kaaien fan de Git client GitKraken waarden blokkearre. De kwetsberens liedt ta de generaasje fan foarsisbere RSA-kaaien troch in flater dy't de kwaliteit fan entropy signifikant ferminderet by it generearjen fan in willekeurige folchoarder foar de kaaien. It probleem waard fêst yn keypair 1.0.4 en GitKraken 8.0.1 releases.
De reden foar de kwetsberens wie it gebrûk fan 'e "b.putByte(String.fromCharCode(next & 0xFF))"-oprop tidens it kaaifoarmingsproses, nettsjinsteande it feit dat de fromCharCode-metoade wer oproppen waard yn 'e putByte-metoade. It oproppen fan CharCode twa kear ("String.fromCharCode (String.fromCharCode (next & 0xFF)") resultearre yn it grutste part fan 'e entropy buffer wurdt fol mei nullen, d.w.s. de kaai waard oanmakke basearre op "willekeurich" gegevens, 97% besteande út nullen.
Boarne: opennet.ru