GitHub huet SSH Schlëssele blockéiert fir Benotzer vu Git Clienten déi d'Tastepair JavaScript Bibliothéik benotze fir Schlësselen ze generéieren. Zum Beispill goufen d'Schlësselen vum Git Client GitKraken blockéiert. D'Schwachheet féiert zu der Generatioun vu prévisibel RSA Schlësselen wéinst engem Feeler, deen d'Qualitéit vun der Entropie wesentlech reduzéiert wann Dir eng zoufälleg Sequenz fir d'Schlësselen generéiert. De Problem gouf an Keypair 1.0.4 a GitKraken 8.0.1 Releases fixéiert.
De Grond fir d'Schwachheet war d'Benotzung vum "b.putByte(String.fromCharCode(next & 0xFF))"Uruff wärend dem Schlësselbildungsprozess, trotz der Tatsaach datt d'fromCharCode Method erëm an der putByte Method genannt gouf. Vun CharCode zweemol uruffen ("String.fromCharCode (String.fromCharCode (next & 0xFF)") huet dozou gefouert datt de gréissten Deel vum Entropiebuffer mat Nullen gefëllt ass, d.h. de Schlëssel war baséiert op "zoufälleg" Donnéeën generéiert, 97% besteet aus Nullen.
Source: opennet.ru