GitHub telah merotasi kunci SSH pribadinya untuk GitHub.com setelah rahasia tersebut secara tidak sengaja dipublikasikan di repositori GitHub publik.
Layanan pengembangan perangkat lunak dan kontrol versi mengatakan, kunci RSA pribadi hanya “diekspos secara singkat”, tetapi mengambil tindakan karena “kehati-hatian yang melimpah”.
Jendela eksposur yang tidak jelas
Dalam posting blog singkat yang diterbitkan hari ini, GitHub mengakui menemukan minggu ini bahwa RSA SSH private key untuk GitHub.com telah diekspos secara singkat di repositori GitHub publik.
“Kami segera bertindak untuk menahan paparan dan mulai menyelidiki untuk memahami akar penyebab dan dampaknya,” menulis Mike Hanley, Chief Security Officer dan SVP of Engineering GitHub.
“Kami sekarang telah menyelesaikan penggantian kunci, dan pengguna akan melihat perubahan menyebar selama tiga puluh menit berikutnya. Beberapa pengguna mungkin telah memperhatikan bahwa kunci baru hadir secara singkat mulai sekitar pukul 02:30 UTC selama persiapan untuk perubahan ini.”
milik GitHub.com sidik jari kunci publik terbaru ditampilkan di bawah ini. Ini dapat digunakan untuk memvalidasi bahwa koneksi SSH Anda ke server GitHub memang aman.
Seperti yang mungkin diketahui beberapa orang, hanya kunci RSA SSH GitHub.com yang terpengaruh dan diganti. Tidak diperlukan perubahan untuk pengguna ECDSA atau Ed25519.
SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s (RSA)
SHA256:br9IjFspm1vxR3iA35FWE+4VTyz1hYVLIE2t1/CeyWQ (DSA – tidak digunakan lagi)
SHA256:p2QAMXNIC1TJYWeIOttrVc98/R1BUFWu3/LiyKgUfQM (ECDSA)
SHA256:+DiY3wvvV6TuJJhbpZisF/zLDA0zPMSvHdkr4UvCOqU (Ed25519)
“Harap diperhatikan bahwa masalah ini bukanlah akibat dari kompromi sistem GitHub atau informasi pelanggan apa pun,” kata GitHub.
“Sebaliknya, paparan itu adalah hasil dari apa yang kami yakini sebagai publikasi informasi pribadi yang tidak disengaja.”
Posting blog, bagaimanapun, tidak menjawab Kapan persis kuncinya terbuka, dan untuk berapa lama, membuat garis waktu paparan agak suram. Stempel waktu tersebut biasanya dapat dipastikan dari log keamanan—jika ini tersedia, dan riwayat komit Git.
GitHub lebih lanjut menyatakan bahwa “tidak ada alasan untuk percaya” bahwa kunci yang terbuka telah disalahgunakan, dan memutar kunci “karena sangat hati-hati”.
Namun, merotasi kunci pribadi setelah bocor, tidak peduli seberapa ‘singkatnya’, adalah langkah yang diperlukan untuk melindungi pengguna dari musuh yang berpotensi menyamar sebagai server Anda, atau menguping koneksi pengguna.
Kunci RSA terbuka yang dipermasalahkan tidak memberikan akses ke infrastruktur GitHub atau data pelanggan, Hanley telah mengklarifikasi.
“Perubahan ini hanya memengaruhi operasi Git melalui SSH menggunakan RSA. Lalu lintas web ke operasi GitHub.com dan HTTPS Git tidak terpengaruh.”
Periksa ulang sidik jari itu
Meskipun GitHub telah mengubah kunci SSH pribadi, banyak dokumen dan proyek perangkat lunak termasuk yang oleh GitHubterus gunakan sidik jari SSH dari kuncinya yang sekarang dicabut:
SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8
Dengan demikian, pengguna harus memperbarui mereka ~/.ssh/known_hosts file dengan sidik jari kunci baru GitHub, jika tidak, mereka mungkin melihat peringatan keamanan saat membuat koneksi SSH. Saat menerima peringatan seperti itu, pengguna harus memastikan sidik jari yang terlihat di layar mereka cocok dengan sidik jari untuk kunci terbaru GitHub.com.
Pada tahun lalu, kunci host SSH GitHub terbaru juga dipublikasikan ke miliknya titik akhir metadata API.
