Из-за бага в Git-клиенте GitKraken разработчики Microsoft, GitHub, GitLab и BitBucket вынуждены массово отозвать ключи SSH, которые оказались ненадежными.
Массовый отзыв ключей начался по просьбе разработчиков из компании Axosoft, которая создала GitKraken. Дело в том, что специалисты обнаружили серьезный недочет в своем клиенте: GitKraken версий 7.6.x, 7.7.x и 8.0.0 использовал библиотеку keypair для генерации ключей SSH, чтобы пользователи могли подключить свое приложение GitKraken к учетным записям Azure DevOps, GitHub, GitLab, BitBucket и так далее.
Выяснилось, что из-за ошибки в генераторе псевдослучайных чисел старые версии этой библиотеки генерировали ключи RSA с низкой энтропией, а значит, при определенных условиях...