id: Гость   вход   регистрация
текущее время 02:07 24/04/2024
Владелец: SATtva (создано 13/05/2008 19:43), редакция от 14/05/2008 21:20 (автор: SATtva) Печать
Категории: криптография, софт, случайные числа, ошибки и баги, уязвимости, управление ключами, свободный софт, операционные системы
http://www.pgpru.com/Новости/2008/ПредсказуемыйГСЧИНебезопасныеКлючиВDebianUbuntu
создать
просмотр
редакции
ссылки

13.05 // Предсказуемый ГСЧ и небезопасные ключи в Debian/Ubuntu


Два года назад разработчики Debian "исправили" "ошибку" (как они считали) в пакете OpenSSL. Перечислять все сферы применения этого пакета, думаю, не стоит, ибо он используется повсеместно и, прежде всего, для выработки ключевого материала SSL, SSH и OpenVPN.


"Ошибка", которая была "исправлена", заключалась в использовании неинициализированной памяти. В большинстве случаев такое исправление было бы разумным, если бы не затрагивало пул и генератор случайных чисел (ГСЧ) OpenSSL. В итоге генератор был лишён возможности добавлять новую энтропию в пул, что делает крайне предсказуемыми все получаемые из него данные и, как следствие, генерируемые шифроключи: пространство ключей всех длин было сокращено примерно до 260 тысяч, делая совершенно тривиальным их полный перебор. (Такой проблемы бы не произошло, поступи разработчики Debian, как дОлжно: вместо патченья пакета в собственном депозитарии, им следовало передать патч апстриму — разработчикам OpenSSL, которых подобная вольность с кодом ГСЧ могла бы весьма насторожить.)


Все пользователи Debian и Ubuntu должны исходить из того, что все шифровальные ключи для SSL, SSH и OpenVPN, сгенерированные ими в последние два года, скомпрометированы! Действуйте исходя из этого.


Источник: http://lists.debian.org/debian.....e/2008/msg00152.html


 
На страницу: 1, 2, 3, 4, 5 След.
Комментарии [скрыть комментарии/форму]
— unknown (03/06/2008 14:30)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Да, интересный оффтопик и познавательный, спасибо. Так сказать, взгляд если не изнутри, то с близкого расстояния.
А для симметричных шифров действительно интересен алгебраический криптоанализ.
Когда создавалось большинство шифров, никто не задумывался, что их реально на практике можно представить как систему уравнений невысокого порядка и решить численными методами. Правда ходят слухи, что NSA наняло специалистов по соответствующим разделам математики ещё в 70-е годы, к немалому удивлению их колег – ведь это были считанные единицы теоретиков.
— spinore (18/09/2008 21:06)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
[offtop]
Поводов испытывать особое беспокойство по поводу "оппонента владеющего КК" пока не вижу.

На недавней конференции у Jungsang Kim'а был доклад по современному состоянию разработки квантовых компьютеров, и он согласился любезно поделиться слайдами (я сказал, что в России есть группа, интересующаяся связанными с {} вопросами, и им, возможно, было бы интересно поглядеть...). Сам я несколько не в теме, но рассказывал он интересно. Особенно позабавила на 43й странице фотография про которую Kim сказал, что это "квантовый компьютер из 2ух кубит" :-D Мне страшно представить, каков будет размер установки когда вместо 2ух их будет 2048. Судя по прогрессу, пока можно спать спокойно :)
[/offtop]
— unknown (19/09/2008 10:08)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
[offtop]
А ещё там пару раз повторяются фотографии первого транзистора на лабораторном столе и современного процессора, в котором этих транзисторов...

Впрочем, более ранний ваш комментарий объясняет разницу между транзистором, где с самого начала было ясно, что их можно будет уменьшать и паковать, и системами кубитов, которые стремяться к хаосу, как на них не дави.
[/offtop]
— spinore (22/09/2008 08:23)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
[offtop]
А ещё там пару раз повторяются фотографии первого транзистора на лабораторном столе и современного процессора, в котором этих транзисторов...

Ну да, они хотели сказать "мы хотим так же для КК" :) А вот обломятся...

Впрочем, более ранний ваш комментарий объясняет разницу между транзистором, где с самого начала было ясно, что их можно будет уменьшать и паковать, и системами кубитов, которые стремяться к хаосу, как на них не дави.

Ну вроде как-то так.
[/offtop]
— Гость (28/03/2010 12:36)   <#>
По поводу сабжа топика есть такой вопрос: если на уязвимой системе (debian, openssl) используются ssh/openvpn-ключи, сгенерированные на другой машине, неуязвимой, это закроет проблему? Или она останется из-за того, что сеансовые ключи будут слабыми?
— Гость (28/03/2010 15:17)   <#>
Что тут скажешь?
Можно только представить сколько еще есть уязвимостей, или может появиться, пока видные крипторгафы с умным лицом подсчитывают числа порядка 2^128...
— Гость (28/03/2010 16:59)   <#>
Археологи на марше. В укрытие!
— Гость (08/08/2010 06:16)   <#>
Извините, но вопрос остался. Кто-нибудь может что-то сказать по этому поводу? Есть старая машина с древним Debian-based дистром, обновлять там смысла ничего нет, надо сносить всё и ставить другую систему. Никаких критичных операций на ней не выполняется, но захожу на неё по ssh. Можно ли расшифровать такой ssh-трафик? А https- или openvpn-трафик с неё (первое, наверное, да, а насчёт 2ого не уверен, т.к. ключи под openvpn генерились на другой машине)?
— SATtva (08/08/2010 12:23)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А https- или openvpn-трафик с неё (первое, наверное, да, а насчёт 2ого не уверен, т.к. ключи под openvpn генерились на другой машине)?

Если речь о больших браузерах, то HTTPS как раз не затронут — его поддержка реализуется во встроенных/родственных библиотеках браузера.
— Гость (08/08/2010 12:45)   <#>
Да, речь о конкретно firefox...
— SATtva (08/08/2010 13:08)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
FF использует криптобиблиотеку NIS.
— unknown (09/08/2010 10:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Бэкпортируйте пакет и обновите ключ, все плохие ключи просчитаны:
http://packages.debian.org/lenny/openssl-blacklist
http://packages.debian.org/len.....nssl-blacklist-extra
— Гость (22/04/2012 21:49)   <#>
Предупреждение от разработчиков Tor, связанное с данной проблемой. Поскольку OpenSSL из Debian применялся для генерации ключей трёх корневых узлов V3 (tor26, gabelmoo, moria1), необходимо обновиться до Tor 0.2.0.26-rc. Те операторы узлов и скрытых ресурсов, которые также генерировали свои ключи в Debian-based OpenSSL (сюда же относится дистрибутив Ubuntu), должны срочно обновить пакет OpenSSL и сгенерировать новые identity-ключи для своих узлов.

А по поводу недавнего есть чего бояться в контексте Tor?
— unknown (22/04/2012 22:22)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Судя по сообщеним в рассылке на этот раз, никакие уязвимые фрагменты кода не используются в Tor.
— Гость (20/05/2013 04:20)   <#>
У кого-то дежавю:

All cryptographic keys generated on NetBSD 6 or NetBSD-current (prior to 2013-03-29) systems should be regenerated, unless it is certain that the system in question cannot have suffered a low-entropy condition when the keys were generated.
На страницу: 1, 2, 3, 4, 5 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3