Bitbucket Cloud SSH ホストキーの更新 2023-05-17 日本語訳
- Hanayo Minamisawa [Ricksoft]
この記事は Atlassian 社のブログや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年5月17日時点の情報です)
目次
- 1 概要
- 2 何が変わるのか
- 2.1 新しいホストキーの追加
- 2.2 RSA ホストキーのローテーション
- 2.3 DSA ホストキーの削除
- 3 必要なアクション
- 4 トラブルシューティング
- 5 FAQ
- 5.1 ホストキーは何をするものですか?
- 5.2 なぜ RSA ホストキーをローテーションするのですか?
- 5.3 なぜ RSA ホストキーをすぐにローテーションしないのですか?
- 5.4 顧客データに影響はありますか?
- 5.5 顧客アカウントや認証情報に影響はありますか?
- 5.6 ユーザーの SSH キーに影響はありますか?
- 5.7 Bitbucket Data Center に影響はありますか?
- 5.8 ホストキーは定期的にローテーションしますか?
- 5.9 HTTPS を使用した Git に影響はありますか?
- 5.10 SSH 接続に影響があるかどうかは、どうすれば分かりますか?
- 5.11 Bitbucket Pipelines は何か変更が必要ですか?
- 5.12 なぜ DSA のサポートを削除するのですか?
概要
すべての Bitbucket Cloud ユーザーに影響があります。
Bitbucket Cloud ユーザーの皆様、
最近、Bitbucket の SSH ホストキーの暗号化されたコピーが、サードパーティー認証管理ベンダーのデータ侵害に含まれていたことが分かりました。SSH プロトコルは、git pull などの Bitbucket Cloud へのSSH 接続時に、信頼されたサーバーの身元を確立するためにホストキーを使用します。
これを受けて、Bitbucket は本日2つの新しい SSH ホストキーを発行し、2023年6月20日に現在のホストキーを置き換える予定です。以下に記載されている内容を確認し、できるだけ早く対応してください。
リスクは低いと考えていますが、ホストキーを積極的にローテーションすることで、古いホストキーが解読された場合の将来のリスクを軽減します。ホストキーを変更しなかった場合、攻撃者が既に侵害されたネットワークと組み合わせて古いホストキーを使用し、クライアントを悪意のあるホストに接続して信頼させる可能性があります。
攻撃者は古いホストキーを直接使用して Bitbucket Cloud 上のデータにアクセスしたり、プライベートの SSH キーにアクセスしたりすることはできませんので、ご安心ください。
私たちは、ホストキーのローテーションが混乱を招く可能性があることを理解しています。セキュリティは常に私たちの最優先事項であり、積極的な対応が最善の方法だと考えています。
詳細は以下をお読みください。
Bala Sathiamurthy, CISO/Head of Security
何が変わるのか
新しいホストキーの追加
2023年5月15日 23:00 UTC に、ECDSA および Ed25519 アルゴリズムを使用して 2 つの新しいホストキーを追加しました。
ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBPIQmuzMBuKdWeF4+a2sjSSpBK0iqitSQ+5BM9KhpexuGt20JpTVM7u5BDZngncgrqDMbWdxMWWOGtZ9UgbqgZE= bitbucket.org
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIazEu89wgQZ4bqs3d63QSMzYVa0MuJ2e2gKTKqu+UUO bitbucket.orgそれに対応するフィンガープリントは以下の通りです。
256 SHA256:FC73VB6C4OQLSCrjEayhMp9UMxS97caD/Yyi2bhW/J0 bitbucket.org (ECDSA)
256 SHA256:ybgmFkzwOSotHTHLJgHO0QN8L0xErw6vd0VhFA9m3SM bitbucket.org (ED25519)RSA ホストキーのローテーション
2023年6月20日 17:00 UTC に、現在の RSA ホスト キーを以下のものに置き換えます。
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDQeJzhupRu0u0cdegZIa8e86EG2qOCsIsD1Xw0xSeiPDlCr7kq97NLmMbpKTX6Esc30NuoqEEHCuc7yWtwp8dI76EEEB1VqY9QJq6vk+aySyboD5QF61I/1WeTwu+deCbgKMGbUijeXhtfbxSxm6JwGrXrhBdofTsbKRUsrN1WoNgUa8uqN1Vx6WAJw1JHPhglEGGHea6QICwJOAr/6mrui/oB7pkaWKHj3z7d1IC4KWLtY47elvjbaTlkN04Kc/5LFEirorGYVbt15kAUlqGM65pk6ZBxtaO3+30LVlORZkxOh+LKL/BvbZ/iRNhItLqNyieoQj/uh/7Iv4uyH/cV/0b4WDSd3DptigWq84lJubb9t/DnZlrJazxyDCulTmKdOR7vs9gMTo+uoIrPSb8ScTtvw65+odKAlBj59dhnVp9zd7QUojOpXlL62Aw56U4oO+FALuevvMjiWeavKhJqlR7i5n9srYcrNV7ttmDw7kf/97P5zauIhxcjX+xHv4M= bitbucket.orgそれに対応する RSA キーのフィンガープリントは以下の通りです。
3072 SHA256:46OSHA1Rmj8E8ERTC6xkNcmGOw9oFxYr0WF6zWW8l1E bitbucket.org (RSA)DSA ホストキーの削除
2023年6月20日 17:00 UTC に、 DSA ホスト キーも削除します。このキーは完全に機能しなくなります。
必要なアクション
bitbucket.org に接続する各 SSH クライアント( IDE や CI/CD ビルドシステムなど、他のアプリケーションも含む)では、直ちに新しい ECDSA または Ed25519 ホストキーを使用することを強くお勧めします。Bitbucket Pipelines のビルドについては、何も操作は必要はありません。
多くの SSH クライアントは、新しいホストキーのいずれかに自動的に切り替わりますが、それぞれの接続された SSH クライアントで確認する必要があります。以下の手順に従って、クライアントが新しいホストキーに自動的に切り替わったかどうかを確認してください。もしクライアントが自動的に切り替わらなかった場合は、手順2と手順3に従いクライアントの設定を手動で更新する必要があります。
1.クライアントが影響を受けるかどうかを確認する
SSH クライアントが使用しているホストキーを確認するには、以下のコマンドを実行します。
$ ssh git@bitbucket.org host_key_info
You are using host key with fingerprint:
ssh-ed25519 SHA256:ybgmFkzwOSotHTHLJgHO0QN8L0xErw6vd0VhFA9m3SM
See https://bitbucket.org/blog/ssh-host-key-changes for more details.
結果に新しい ECDSA または Ed25519 ホスト キーのフィンガープリントが表示されますか?
はい!: SSH クライアントは新しいホストキーに自動的に切り替わっており、このクライアントには追加の操作は必要ありません。
いいえ。: 手順2に進みます。
2.新しいホストキーを信頼するようにクライアントを設定する
もし、OpenSSH(または互換性のある)クライアントの結果に新しいフィンガープリントが表示されない場合は、以下のコマンドを使用して新しい信頼されるホストキーをknown_hostsファイルに設定できます。
$ ssh-keygen -R bitbucket.org && curl https://bitbucket.org/site/ssh >> ~/.ssh/known_hostsもし、別の SSH クライアントを使用している場合は、そのクライアントのドキュメントを参照して、設定を更新する方法を確認してください。
3.キーの追加が成功したことを確認する
新しいホストキーがクライアントに信頼されていることを確認するために、手順1のコマンドを再実行してください。
トラブルシューティング
手順に従っても、新しいホストキーのフィンガープリントがクライアントの結果に表示されません。
SSH クライアントのドキュメントを参照し、以下を確認してください。
クライアントは、ECDSA/Ed25519 よりも RSA を優先するように設定されていない。
クライアントは
~/.ssh/known_hostsの設定を使用しているか確認してください。そうでない場合は、新しいホストキーのうち1つまたは両方を使用するように手動で再設定する必要があります。
クライアントは、RSA ホストキーアルゴリズムのみに対応しています。
2023年6月20日に RSA キーを置き換える必要があります。
Bamboo ビルドがトリガーに失敗します。
もし Bamboo のインスタンスが信頼済みキーを使用するように設定されている場合、管理者が新しいECDSA/Ed25519 ホストキーを信頼するように設定を更新する必要があります。
SSH クライアントが壊れているようです、どうすればいいですか?
一部のクライアントでは、新しい ECDSA または Ed25519 ホストキーを古い RSA キーと照合しようとする設定があり、接続が失敗する可能性があります。これには、Go のxcrypto/sshや C のlibssh2などの低レベルライブラリを使用するサービスも含まれることがあります。この場合、ライブラリの設定を更新して新しい ECDSA または Ed25519 ホストキーを信頼するようにします。
上記の手順を試しても問題が解決しない場合は、以下問い合わせフォームから Bitbucket Cloud のサポートチームにヘルプを求めることができます。
FAQ
ホストキーは何をするものですか?
SSH プロトコルは、各 SSH 接続において信頼できるサーバーの身元を確立するためにホストキーを使用します。例えば、git pullなどの bitbucket.org への SSH 接続を確立する際にもホストキーが使用されます。
なぜ RSA ホストキーをローテーションするのですか?
最近、Bitbucket の SSH ホストキーの暗号化されたコピーが、サードパーティー認証管理ベンダーのデータ侵害に含まれていたことが分かりました。リスクは低いと考えていますが、ホストキーを積極的にローテーションすることで、古いホストキーが解読された場合の将来のリスクを軽減します。ホストキーを変更しなかった場合、攻撃者が既に侵害されたネットワークと組み合わせて古いホストキーを使用し、クライアントを悪意のあるホストに接続して信頼させる可能性があります。
攻撃者は古いホストキーを直接使用して、 Bitbucket Cloud 上のデータにアクセスしたり、プライベートの SSH キーにアクセスしたりすることはできません。
私たちは、ホストキーのローテーションが混乱を招く可能性があることを理解しています。セキュリティは常に私たちの最優先事項であり、積極的な対応が最善の方法だと考えています。
なぜ RSA ホストキーをすぐにローテーションしないのですか?
私たちは、お客様にとって差し迫った重大なリスクはないと考えています。既知のホストキーを引き続きクライアントが使用できるようにすることで、ユーザーには新しいキーへの信頼を慎重かつ安全に確立する時間が与えられます。
計画的なアプローチを取ることで、ワークフローの中断を最小限に抑えながら、安全に新しいキーに移行する時間をユーザーに与えています。
顧客データに影響はありますか?
いいえ、SSH ホストキーは Bitbucket Cloud 上のデータを保護しません。
顧客アカウントや認証情報に影響はありますか?
いいえ、SSH ホストキーは Bitbucket Cloud のユーザー認証に関与しません。
ユーザーの SSH キーに影響はありますか?
いいえ、ユーザーの SSH キーへの影響はありません。
Bitbucket Data Center に影響はありますか?
いいえ、Bitbucket Data Center への影響はありません。
ホストキーは定期的にローテーションしますか?
現時点では今後のローテーションの予定はありません。
HTTPS を使用した Git に影響はありますか?
いいえ、影響を受けるのは SSH 経由の Git のみです。
特定のリポジトリが SSH を使用しているかどうかは、リモートをチェックすることで確認できます。
もしリモートがhttpsで始まっていれば、HTTPS 経由で Git を使用しているため、影響を受けません。
$ git remote -v
origin https://bitbucket.org/test/repository (fetch)
origin https://bitbucket.org/test/repository (push)もしリモートが git@bitbucket.org で始まる場合は、SSH 経由した Git を使用しているため、対応が必要です。下記参照を参照してください。
$ git remote -v
origin git@bitbucket.org:/test/repository.git (fetch)
origin git@bitbucket.org:/test/repository.git (push)SSH 接続に影響があるかどうかは、どうすれば分かりますか?
ホストキー情報の SSH コマンドを使用して、特定のクライアントを確認できます。
$ ssh git@bitbucket.org host_key_info
You are using host key with fingerprint:
ssh-rsa SHA256:zzXQOXSRBEiUtuE8AikJYKwbHaxvSc0ojez9YXaGp1A
WARNING: The host key your client is using will be removed in the near future.
Please configure your client to trust a new host key.
See https://bitbucket.org/blog/ssh-host-key-changes for more details.もしクライアントが既に ECDSA または Ed25519 のホストキーを使用している場合は、設定は完了しています。
クライアントが RSA または DSA ホストキーを使用している場合は、上記の手順を参照して、クライアントの設定を更新してください。
Bitbucket Pipelines は何か変更が必要ですか?
いいえ、ビルドで提供される信頼できるホストキーは、Atlassian によって更新されます。
なぜ DSA のサポートを削除するのですか?
DSAアルゴリズムは、2015年にOpenSSHで非推奨となりました。代わりにより強力な ECDSA、Ed25519、または RSA の暗号化アルゴリズムを使用するために、クライアントの設定を更新する必要があります。
ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。
Related content
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ