Názor k článku Postřehy z bezpečnosti: Microsoft (zřejmě) zjistil, jak přišel o klíč od Ondra z Měcholup - Uniklý klíč z dumpu z dubna 2021 je...

Uniklý klíč z dumpu z dubna 2021 je úspěšně použitý pro podepsání tokenu v červnu 2023, tj. po více než dvou letech? Co nějaký key rollover?

Navíc u takto citlivého klíče bych čekal, že bude uložený v HSM a v paměti (serveru) se tudíž nikdy vyskytovat nebude - může se tu jednat samozřejmě o paměť a crashdump toho HSM, to se z vyjádření jednoznačně určit nedá, zmiňují to tam jako "signing system", což může být jak podepisovací server tak HSM za ním. Každopádně následné nakládání s dumpem je jednoznačné selhání.