目次

概要

何が変わるのか

新しいホストキーの追加

2023年5月15日 23:00 UTC に、ECDSA および Ed25519 アルゴリズムを使用して 2 つの新しいホストキーを追加しました。

それに対応するフィンガープリントは以下の通りです。

RSA ホストキーのローテーション

2023年6月20日 17:00 UTC に、現在の RSA ホスト キーを以下のものに置き換えます。

それに対応する RSA キーのフィンガープリントは以下の通りです。

DSA ホストキーの削除

2023年6月20日 17:00 UTC に、 DSA ホスト キーも削除します。このキーは完全に機能しなくなります。

必要なアクション

bitbucket.org に接続する各 SSH クライアント（ IDE や CI/CD ビルドシステムなど、他のアプリケーションも含む）では、直ちに新しい ECDSA または Ed25519 ホストキーを使用することを強くお勧めします。Bitbucket Pipelines のビルドについては、何も操作は必要はありません。

多くの SSH クライアントは、新しいホストキーのいずれかに自動的に切り替わりますが、それぞれの接続された SSH クライアントで確認する必要があります。以下の手順に従って、クライアントが新しいホストキーに自動的に切り替わったかどうかを確認してください。もしクライアントが自動的に切り替わらなかった場合は、手順2と手順3に従いクライアントの設定を手動で更新する必要があります。

1.クライアントが影響を受けるかどうかを確認する

SSH クライアントが使用しているホストキーを確認するには、以下のコマンドを実行します。

結果に新しい ECDSA または Ed25519 ホスト キーのフィンガープリントが表示されますか？

• はい！： SSH クライアントは新しいホストキーに自動的に切り替わっており、このクライアントには追加の操作は必要ありません。

• いいえ。： 手順2に進みます。

2.新しいホストキーを信頼するようにクライアントを設定する

もし、OpenSSH（または互換性のある）クライアントの結果に新しいフィンガープリントが表示されない場合は、以下のコマンドを使用して新しい信頼されるホストキーをknown_hostsファイルに設定できます。

もし、別の SSH クライアントを使用している場合は、そのクライアントのドキュメントを参照して、設定を更新する方法を確認してください。

3.キーの追加が成功したことを確認する

新しいホストキーがクライアントに信頼されていることを確認するために、手順1のコマンドを再実行してください。

トラブルシューティング

手順に従っても、新しいホストキーのフィンガープリントがクライアントの結果に表示されません。

SSH クライアントのドキュメントを参照し、以下を確認してください。

• クライアントは、ECDSA/Ed25519 よりも RSA を優先するように設定されていない。

• クライアントは ~/.ssh/known_hosts の設定を使用しているか確認してください。そうでない場合は、新しいホストキーのうち1つまたは両方を使用するように手動で再設定する必要があります。

クライアントは、RSA ホストキーアルゴリズムのみに対応しています。

2023年6月20日に RSA キーを置き換える必要があります。

Bamboo ビルドがトリガーに失敗します。

もし Bamboo のインスタンスが信頼済みキーを使用するように設定されている場合、管理者が新しいECDSA/Ed25519 ホストキーを信頼するように設定を更新する必要があります。

SSH クライアントが壊れているようです、どうすればいいですか？

一部のクライアントでは、新しい ECDSA または Ed25519 ホストキーを古い RSA キーと照合しようとする設定があり、接続が失敗する可能性があります。これには、Go のxcrypto/sshや C のlibssh2などの低レベルライブラリを使用するサービスも含まれることがあります。この場合、ライブラリの設定を更新して新しい ECDSA または Ed25519 ホストキーを信頼するようにします。

上記の手順を試しても問題が解決しない場合は、以下問い合わせフォームから Bitbucket Cloud のサポートチームにヘルプを求めることができます。

https://support.atlassian.com/contact/#/

FAQ

ホストキーは何をするものですか？

SSH プロトコルは、各 SSH 接続において信頼できるサーバーの身元を確立するためにホストキーを使用します。例えば、git pullなどの bitbucket.org への SSH 接続を確立する際にもホストキーが使用されます。

なぜ RSA ホストキーをローテーションするのですか?

最近、Bitbucket の SSH ホストキーの暗号化されたコピーが、サードパーティー認証管理ベンダーのデータ侵害に含まれていたことが分かりました。リスクは低いと考えていますが、ホストキーを積極的にローテーションすることで、古いホストキーが解読された場合の将来のリスクを軽減します。ホストキーを変更しなかった場合、攻撃者が既に侵害されたネットワークと組み合わせて古いホストキーを使用し、クライアントを悪意のあるホストに接続して信頼させる可能性があります。

攻撃者は古いホストキーを直接使用して、 Bitbucket Cloud 上のデータにアクセスしたり、プライベートの SSH キーにアクセスしたりすることはできません。

私たちは、ホストキーのローテーションが混乱を招く可能性があることを理解しています。セキュリティは常に私たちの最優先事項であり、積極的な対応が最善の方法だと考えています。

なぜ RSA ホストキーをすぐにローテーションしないのですか?

私たちは、お客様にとって差し迫った重大なリスクはないと考えています。既知のホストキーを引き続きクライアントが使用できるようにすることで、ユーザーには新しいキーへの信頼を慎重かつ安全に確立する時間が与えられます。

計画的なアプローチを取ることで、ワークフローの中断を最小限に抑えながら、安全に新しいキーに移行する時間をユーザーに与えています。

顧客データに影響はありますか？

いいえ、SSH ホストキーは Bitbucket Cloud 上のデータを保護しません。

顧客アカウントや認証情報に影響はありますか？

いいえ、SSH ホストキーは Bitbucket Cloud のユーザー認証に関与しません。

ユーザーの SSH キーに影響はありますか？

いいえ、ユーザーの SSH キーへの影響はありません。

Bitbucket Data Center に影響はありますか？

いいえ、Bitbucket Data Center への影響はありません。

ホストキーは定期的にローテーションしますか?

現時点では今後のローテーションの予定はありません。

HTTPS を使用した Git に影響はありますか?

いいえ、影響を受けるのは SSH 経由の Git のみです。

特定のリポジトリが SSH を使用しているかどうかは、リモートをチェックすることで確認できます。

もしリモートがhttpsで始まっていれば、HTTPS 経由で Git を使用しているため、影響を受けません。

もしリモートが git@bitbucket.org で始まる場合は、SSH 経由した Git を使用しているため、対応が必要です。下記参照を参照してください。

SSH 接続に影響があるかどうかは、どうすれば分かりますか？

ホストキー情報の SSH コマンドを使用して、特定のクライアントを確認できます。

もしクライアントが既に ECDSA または Ed25519 のホストキーを使用している場合は、設定は完了しています。

クライアントが RSA または DSA ホストキーを使用している場合は、上記の手順を参照して、クライアントの設定を更新してください。

Bitbucket Pipelines は何か変更が必要ですか？

いいえ、ビルドで提供される信頼できるホストキーは、Atlassian によって更新されます。

なぜ DSA のサポートを削除するのですか？

DSAアルゴリズムは、2015年にOpenSSHで非推奨となりました。代わりにより強力な ECDSA、Ed25519、または RSA の暗号化アルゴリズムを使用するために、クライアントの設定を更新する必要があります。