image

GitHub roteert private ssh-key nadat het die per ongeluk openbaar maakte

vrijdag 24 maart 2023, 16:33 door Redactie, 6 reacties

Ontwikkelaarsplatform GitHub heeft de eigen private ssh-key geroteerd nadat het die per ongeluk via GitHub.com openbaar maakte. Dit moet voorkomen dat een aanvaller zich als GitHub kan voordoen of Git-operaties via ssh kan afluisteren, zo laat het populaire ontwikkelaarsplatform in een blogposting weten. Deze week ontdekte GitHub dat de RSA SSH private key voor GitHub.com tijdelijk via een publieke GitHub- repository toegankelijk was.

Hierop werd een onderzoek ingesteld. Volgens GitHub is het lekken van de sleutel veroorzaakt door het onbedoeld publiceren van private informatie. Verdere details zijn niet gegeven, behalve dat er volgens GitHub geen aanwijzingen zijn dat er misbruik van de key is gemaakt. Toch is uit voorzorg besloten de key, die wordt gebruikt voor het beveiligen van Git-operaties op GitHub.com, te roteren.

De key geeft geen toegang tot de infrastructuur van GitHub, dat door tal van softwareontwikkelaars en organisaties wordt gebruikt voor het ontwikkelen van software, of gegevens van klanten. "De aanpassing raakt alleen Git-operaties over ssh waarbij van RSA gebruik wordt gemaakt", aldus een verklaring. Vanwege de vervangen key kunnen gebruikers die via ssh verbinding met GitHub.com maken een melding te zien krijgen. In dit geval moeten ze de oude key vervangen en de nieuwe key toevoegen.

Reacties (6)
24-03-2023, 18:24 door Anoniem
Vreemd om de term "roteren" te gebruiken. Iets wat je ronddraait komt op een gegeven moment weer terug, en dat is hier uitdrukkelijk niet de bedoeling. De term wordt bijvoorbeeld gebruikt bij backup-media die na een X aantal backups opnieuw aan de beurt zijn zodat de vorige inhoud door de nieuwe wordt overschreven. Als iets niet na verloop van tijd wordt hergebruikt is de term misplaatst in mijn ogen.
24-03-2023, 18:32 door Anoniem
Tussen de regels door lees ik dat zij standaard niet aan key rotatie doen.
In de omgevingen die ik zelf beheer doe ik dat standaard en die zijn beduidend minder high-profile dan de infra van github.
Tevens zou ik verwachten dat er een passphrase op de key zit waardoor het lekken van de private key niet direct een issue zou moeten zijn, een beetje vergelijkbaar met het lekken van een wachtwoord db met een sterke encryptie en wachtwoord.
25-03-2023, 07:41 door Anoniem
Door Anoniem: Vreemd om de term "roteren" te gebruiken. Iets wat je ronddraait komt op een gegeven moment weer terug, en dat is hier uitdrukkelijk niet de bedoeling. De term wordt bijvoorbeeld gebruikt bij backup-media die na een X aantal backups opnieuw aan de beurt zijn zodat de vorige inhoud door de nieuwe wordt overschreven. Als iets niet na verloop van tijd wordt hergebruikt is de term misplaatst in mijn ogen.

Staar je niet blind op de terminologie.

"Key rotation is when you retire an encryption key and replace that old key by generating a new cryptographic key. Rotating keys on a regular basis help meet industry standards and cryptographic best practices."

Lees het als simpelweg het vervangen van de oude key.
Helaas kan ik het niet vinden maar ik heb een vermoeden dat het te maken heeft met de vroege encryptie machines zoals de Hebern rotor machine. Daarbij wordt de encryptie sleutel ingesteld door een bepaalde rotatie te doen.
De term zal wel zijn blijven plakken.
25-03-2023, 14:47 door Anoniem
Door Anoniem: Vreemd om de term "roteren" te gebruiken. Iets wat je ronddraait komt op een gegeven moment weer terug, en dat is hier uitdrukkelijk niet de bedoeling.
De term keyrotation is vrij gebruikelijk als het om vervangen van (access)keys gaat, zoek maar op.
Jouw aanname dat je ooit terugkomt op je oude key is nergens op gebaseerd.
25-03-2023, 17:18 door Anoniem
Door Anoniem:
Door Anoniem: Vreemd om de term "roteren" te gebruiken. Iets wat je ronddraait komt op een gegeven moment weer terug, en dat is hier uitdrukkelijk niet de bedoeling.
De term keyrotation is vrij gebruikelijk als het om vervangen van (access)keys gaat, zoek maar op.
Jouw aanname dat je ooit terugkomt op je oude key is nergens op gebaseerd.

Nu ja - hij heeft gelijk dat de term ietwat onlogisch is , en in de context van backup tapes inderdaad een terugkeer naar een oude tape impliceert .

Maar goed - het *is* (ook/juist in het engels) nu eenmaal de jargon term voor het vervangen van crypto keys , en dan bevriest zo'n betekenis .
Moet je niet te lang over zeuren, het is niet dat de redactie de term zelf verzonnen heeft .

Je kunt nog "core" tegenkomen voor main memory ("core dump"), hoewel de ringkernen sinds heel lang verdwenen zijn.
Je kunt "on disk" tegenkomen , hoewel SSD niks meer heeft met een ronde schijf .
"Floppy" werd al dubieus met de 3.5" 'floppies' - schijfjes die behoorlijk rigide waren.

We "steken de lamp aan" - met een schakelaar, vele decennia nadat gaslampen vervangen zijn.
26-03-2023, 12:11 door Anoniem
Verder rondneuzend krijg ik dit beeld van de betekenisontwikkeling van de term "roteren":

• het betekent oorspronkelijk dat iets om een as ronddraait;
• de term is men ook gaan gebruiken om aan te geven dat iets bij toerbeurt ingezet wordt, vervanging met hergebruik dus, volgens een vast schema;
• die betekenis is uitgebreid door het woord te gaan gebruiken voor vervanging volgens een vast schema zonder dat er van hergebruik sprake is (bij cryptografische sleutels bijvoorbeeld);
• en die betekenis is weer uitgebreid met vervanging buiten zo'n vast schema, zoals de redactie nu doet (en ik inmiddels ook in andere berichten over dit onderwerp heb zien doen).

Alleen betekent "roteren" in de laatste betekenis precies hetzelfde als "vervangen", en de term werd nou juist gebruikt omdat er een woord nodig was om iets specifieks mee aan te duiden waar het algemene "vervangen" niet voor voldeed. Dan zijn we zo ver gekomen met het laten verwateren van de betekenis van een term dat we de toegevoegde waarde ervan om zeep hebben geholpen. Naar mijn mening is het beter om dan de term die er al was ("vervangen") te gebruiken om het onderscheidende vermogen van die woorden overeind te helpen houden.

De blogposting van GitHub waar de redactie naar linkt gebruikt trouwens het woord "rotate" niet, daar wordt het woord "replace" gebruikt. Wie weet is het geschreven door iemand die het woord "rotate" ook misplaatst vindt voor deze vervanging.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.