Sie sind in Kategorie Linux

Brotkrumennavigation


Freitag, 16. Mai 2008

Debian-Patch macht Verschlüsselung unsicher

Datum: 16.05.2008 Uhrzeit: 08:22 | Kommentare (0)
Wie ich gestern erfuhr, hat ein alter Patch im OpenSSL die Verschlüsselung unsicher gemacht. Debian-Maintainer des OpenSSL-Pakets haben Programmteile so gepatcht, dass ungenaue Zufallszahlen erzeugt werden.

Die Erzeugung von Zufallszahlen wurde dadurch so eingeschränkt, dass diese besser zu „erraten“ sind.

Worin besteht diese Sicherheitslücke?

Der Patch hat den Pool der Entropie von Zufallszahlen arg eingeschränkt. Zufallszahlen sind so deshalb besser zu eraten und deswegen mit openssl erzeugte Schlüssel unsicher.

Damit wurde nur noch die 16-Bit-lange Prozess-ID zur Erzeugung von Zufallszahlen verwendet und SSH- bzw. SSL/TLS-Schlüssel mittels einfachem Bruteforceangriff erratbar. (Quelle: Heise)

Eine wirkliche Gefahr für die Datensicherheit. Für MetaSploit existieren dezeit schon Exploits.

Wie kam es dazu?

Auf Grund einer Meldung des Qualitätssicherungstools Valgrind wurden Patches eingefügt, welche den angemeckerten Quellcode entfernen. Eine eingehende Analyse des problematischen Codes und Rücksprache mit den Herstellern des Originalcodes fanden jedoch nicht statt.

Was kann als Gegenmaßnahme getan werden?

Debian selbst hat ein Testtool bereitgestellt, welches solche unsicheren Schlüssel überprüfen kann; allerdings gibt es auch schon Hinweise, dass dieses Tool ab und an Schlüssel übersieht.

Mittels Bruteforce-Attacken kann also versucht werden, Schlüssel zu errechnen und dann in Systeme einzubrechen. SSH-Logins solten deshalb besser mit Programmen wie fail2ban oder denyhosts abgesichert werden, welche bei mehrfachen Fehllogins sperren.

Außerdem sind natürlich SSL-Verbindungen auch nicht mehr so sicher wie manch glauben. Auch dies Schlüssel lassen sich durch die mangelnde Entropie errechnen. Webserverbetreiber sollten deshalbt ihre Schlüssel und Zertifikate neu generieren.

Weitere Hinweise zum Problem

Weitere Quellen:

Autor: GwenDragon · Kategorie Linux · Permalink · Kommentare (0) · Kommentar schreiben

Kommentar für Blogeintrag

Kommentar

Mit * gekennzeichnete Felder müssen angegeben werden.

(Textformatierung in Markdown möglich)



Hinweis zum Datenschutz

Falls es Probleme mit Kommentaren/Trackbacks gibt, bitte ich um eine Beschreibung per E-Mail.

TrackBack-URL: http://labs.gwendragon.de/blog/Computer/Linux/debians-openssl-verunsichert-verschluessung.html/trackback

↑Artikel