id: Гость   вход   регистрация
текущее время 23:47 28/03/2024
Владелец: SATtva (создано 13/05/2008 19:43), редакция от 14/05/2008 21:20 (автор: SATtva) Печать
Категории: криптография, софт, случайные числа, ошибки и баги, уязвимости, управление ключами, свободный софт, операционные системы
http://www.pgpru.com/Новости/2008/ПредсказуемыйГСЧИНебезопасныеКлючиВDebianUbuntu
создать
просмотр
редакции
ссылки

13.05 // Предсказуемый ГСЧ и небезопасные ключи в Debian/Ubuntu


Два года назад разработчики Debian "исправили" "ошибку" (как они считали) в пакете OpenSSL. Перечислять все сферы применения этого пакета, думаю, не стоит, ибо он используется повсеместно и, прежде всего, для выработки ключевого материала SSL, SSH и OpenVPN.


"Ошибка", которая была "исправлена", заключалась в использовании неинициализированной памяти. В большинстве случаев такое исправление было бы разумным, если бы не затрагивало пул и генератор случайных чисел (ГСЧ) OpenSSL. В итоге генератор был лишён возможности добавлять новую энтропию в пул, что делает крайне предсказуемыми все получаемые из него данные и, как следствие, генерируемые шифроключи: пространство ключей всех длин было сокращено примерно до 260 тысяч, делая совершенно тривиальным их полный перебор. (Такой проблемы бы не произошло, поступи разработчики Debian, как дОлжно: вместо патченья пакета в собственном депозитарии, им следовало передать патч апстриму — разработчикам OpenSSL, которых подобная вольность с кодом ГСЧ могла бы весьма насторожить.)


Все пользователи Debian и Ubuntu должны исходить из того, что все шифровальные ключи для SSL, SSH и OpenVPN, сгенерированные ими в последние два года, скомпрометированы! Действуйте исходя из этого.


Источник: http://lists.debian.org/debian.....e/2008/msg00152.html


 
На страницу: 1, 2, 3, 4, 5 След.
Комментарии [скрыть комментарии/форму]
— SATtva (13/05/2008 20:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Предупреждение от разработчиков Tor, связанное с данной проблемой. Поскольку OpenSSL из Debian применялся для генерации ключей трёх корневых узлов V3 (tor26, gabelmoo, moria1), необходимо обновиться до Tor 0.2.0.26-rc. Те операторы узлов и скрытых ресурсов, которые также генерировали свои ключи в Debian-based OpenSSL (сюда же относится дистрибутив Ubuntu), должны срочно обновить пакет OpenSSL и сгенерировать новые identity-ключи для своих узлов.

Вот вам и преимущества открытого ПО и открытой разработки...
— sentaus (14/05/2008 00:32, исправлен 14/05/2008 00:34)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Хм. С другой стороны в закрытом ПО подобная уязвимость скорее всего была бы исправлена тихо и незаметно. Кстати, в Debian можно узнать, кто конкретно патч написал и принял?
— SATtva (14/05/2008 00:36)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Начать копать можно отсюда. По датам посмотреть, кто коммитил изменения в официальное дерево Debian.
— Гость (14/05/2008 01:02)   <#>
Все пользователи Debian и Ubuntu должны исходить из того, что все шифровальные ключи для SSL, SSH и OpenVPN, сгенерированные ими в последние два года, скомпрометированы!

unknown будет рад ;-D
А я ведь говорил... :))
— Гость (14/05/2008 01:20)   <#>
Догадаться занулять пул это жесть. Разработчиков Debian на мыло за феерическую глупость.

С другой стороны в закрытом ПО подобная уязвимость скорее всего была бы исправлена тихо и незаметно.

В закрытом ПО эта уязвимость сидела бы еще много-много лет.
— Гость (14/05/2008 01:22)   <#>
Вы всё-таки неправы. Этот патч не имеет отношения к проблеме, как видно, он вообще относится к 0.9.8b-1. Настоящий проблемный патч выглядел так (с трудом нашёл в diff.gz через гугл):

"For the benefit of people reading this bug report via slashdot or whatever and putting 2 and 2 together to get 5, the change that was actually committed is not even slightly the same as the one at the top of this bug report. Please avoid drawing incorrect conclusions!" — последнее сообщение из того треда, на который все ссылаются.

V.
— SATtva (14/05/2008 10:19)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Гость (14/05/2008 01:22), а ссылку не дадите?
— ygrek (14/05/2008 10:42)   профиль/связь   <#>
комментариев: 98   документов: 8   редакций: 10
На http://wiki.debian.org/SSLkeys (внизу) есть подробная информация и ссылки на обсуждения патча в openssl-dev
— Гость (14/05/2008 10:43)   <#>
http://svn.debian.org/viewsvn/.....trunk/rand/md_rand.c

//другой гость
— unknown (14/05/2008 12:01, исправлен 14/05/2008 12:41)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Разработка собственных патчей и вялое проталкивание их в апстрим обычное дело. Вот у Рэдхата ядро особенное.

Но тут конечно лоханулись по полной. Или это заговор?

Вот только странно, что раз взлом ключей может осуществляться в реальном времени из-за ничтожно малого пространства ошибочно генерируемых ключей.

Разработчики системы Tor утверждают что это не позволяет расшифровать записанный Tor-траффик в период с 2006 по 2008 у пользователей использовавших Debian-tor клиент или между Debian-серверами сети Tor, а только осуществлять MITM атаки с вбрасыванием в сеть ложной статистики и имитации виртуальной сети.

А почему нет, почему нельзя просто восстановить все сеансовые DH-ключи от сеансов tor-соединений между двумя Debian-машинами по-крайней мере?

т.к.


Affected keys include SSH keys, OpenVPN keys, DNSSEC keys, and key material for use in X.509 certificates and session keys used in SSL/TLS connections.


— unknown (14/05/2008 12:04)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вот вам и преимущества открытого ПО и открытой разработки...

А в BSD (всех версий) недавно нашли баг, который никто не замечал 25 лет. Вот вам и открытый код.
— ygrek (14/05/2008 13:22, исправлен 14/05/2008 13:41)   профиль/связь   <#>
комментариев: 98   документов: 8   редакций: 10
И всё-таки — поправьте новость — это исправление обсуждалось с апстримом и никто из разработчиков не "падал со стульев от смеха".
— Гость (14/05/2008 15:14)   <#>
А в BSD (всех версий) недавно нашли баг, который никто не замечал 25 лет

А не фиг было костыльworkaround удалять :)
— SATtva (14/05/2008 15:25, исправлен 14/05/2008 15:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
ygrek, вот цитата из блога Бена Лаури, одного из ведущих разработчиков OpenSSL (курсив авторский):

Fourthly, I said in my original post that if the Debian maintainer had asked the developers, then we would have advised against such a change. About 50% of the comments on my post point to this conversation on the openssl-dev mailing list. In this thread, the Debian maintainer states his intention to remove for debugging purposes a couple of lines that are “adding an unintialiased buffer to the pool”. In fact, the first line he quotes is the first one I described above, i.e. the only route to adding anything to the pool. Two OpenSSL developers responded, the first saying “use -DPURIFY” and the second saying “if it helps with debugging, I’m in favor of removing them”. Had they been inspired to check carefully what these lines of code actually were, rather than believing the description, then they would, indeed, have noticed the problem and said something, I am sure. But their response can hardly be taken as unconditional endorsement of the change.

В итоге мы получаем ситуацию, при которой один разработчик (даунстрим) дезинформировал других разработчиков (апстрим), а те, в свою очередь, лично не проверили содержание патча, поверив на слово даунстриму.
— unknown (14/05/2008 16:37)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
...хотели как лучше, а получилось ещё хуже
На страницу: 1, 2, 3, 4, 5 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3