HeartbleedはSSHキーに影響しますか？

いいえ、Heartbleedは実際にはSSHキーに影響を与えないので、使用していたSSHキーを置き換える必要はおそらくありません。

まず、SSLとSSHは、2つの異なる用途のための2つの異なるセキュリティプロトコルです。同様に、OpenSSLとOpenSSHも、名前が似ているにもかかわらず、2つの完全に異なるソフトウェアパッケージです。

次に、Heartbleedエクスプロイトにより、脆弱なOpenSSL TLS/DTLSピアがランダムな64kBのメモリを返しますが、そのOpenSSLを使用するプロセスがアクセスできるメモリにほぼ制限されます。 OpenSSLを使用するプロセスがSSH秘密鍵にアクセスできない場合、Heartbleed経由でリークすることはできません。

また、通常、SSH publicキーは、SSHを使用して接続するサーバーにのみ配置します。名前が示すように、公開キーは公開できるキーです。誰が知っているかは関係ありません。実際、あなたは正しい公開鍵を知っているwant publicです。

この脆弱性が脆弱なバージョンのOpenSSLをクライアント側のTLS/DTLSライブラリとして使用するクライアントアプリに影響を与える可能性があることを指摘してくれた@Bobに感謝します。たとえば、WebブラウザまたはSSLベースのVPNクライアントが脆弱なバージョンのOpenSSLを使用し、悪意のあるサーバーに接続している場合、その悪意のあるサーバーはHeartbleedを使用して、そのクライアントソフトウェアのメモリのランダムなスニペットを見ることができます。なんらかの理由でそのクライアントアプリのSSH秘密鍵のコピーがメモリにある場合、Heartbleed経由でリークする可能性があります。

頭の中で、暗号化されていないSSH秘密キーのコピーをメモリに保持できるSSH以外のソフトウェアについては考えていません。まあ、それはあなたがSSH秘密鍵をディスク上で暗号化しておくことを前提としています。 SSH秘密鍵をディスク上で暗号化しない場合は、OpenSSL TLSを使用したファイル転送またはバックアッププログラムを使用して、ネットワーク経由でホームディレクトリ（~/.ssh/id_rsaを含む）をコピーまたはバックアップした可能性がありますまたは他のSSH秘密鍵）、SSH秘密鍵の暗号化されていないコピーがメモリにある可能性があります。次に、暗号化されていないSSH秘密キーを悪意のあるサーバーにバックアップしている場合、おそらくHeartbleedよりも大きな心配事があります。 :-)