OpenSSL in Debian: Alle alten Keys unsicher

Heute kam auf der security-Liste von Debian ein schokierendes Advisory: Eine Debian-Spezifischen Änderung im OpenSSL-Code hat dazu geführt, dass bei der Schlüsselgenerierung schlechte Zufallszahlen benutzt wurden, was alle bisher generierten Schlüssel angreifbar macht.

It is strongly recommended that all cryptographic key material which has
been generated by OpenSSL versions starting with 0.9.8c-1 on Debian
systems is recreated from scratch. Furthermore, all DSA keys ever used
on affected Debian systems for signing or authentication purposes should
be considered compromised; the Digital Signature Algorithm relies on a
secret random value used during signature generation.

Debian will Tipps dazu geben, wie man am besten die Schlüssel ändert, für Server-Betreiber könnte das unangenehme Arbeit bedeuten.

12 Comments »

  1. coco said,

    May 14, 2008 @ 12:03 pm

    Danke für die Tipps, aber was heist das genau, daß alle bisher generierten Schlüssel angreifbar sind???

  2. moritz said,

    May 14, 2008 @ 12:08 pm

    Das bedeutet, dass zig-tausende Linux-Server weit offen für Angreifer stehen, die mit relativ wenig Aufwand die Kontrolle über über diese Server übernehmen können.

    Das kann man sich so vorstellen, als ob irgend jemand einen einfachen Generalschlüssel für alle Sicherheitsschlösser einer bestimmten Marke gefunden hätte, die von Behörden, Schulen und Krankenhäusern eingesetzt wird – keine tolle Aussicht.

  3. Ingo said,

    July 3, 2008 @ 6:18 pm

    ehrlich gesgat hab ich immer noch nicht richtig verstanden, was coco geschrieben hat, obwohl du, moritz, das bestimmt gut erklärt hast :( sry kenn mich da nicht so aus…

  4. Haiku said,

    July 4, 2008 @ 6:21 am

    Also ich habe mir den Link “Tipps dazu geben, wie man am besten die Schlüssel ändert” mal angeschaut. Irgendwie blicke ich da noch nicht ganz durch. Muss aber auch zugeben, dass ich wirklich kein Profi auf diesem Gebiet bin. Da hilft wohl nur eins: Weiter Googlen ;-(

  5. marlene said,

    July 4, 2008 @ 5:53 pm

    ich versteh das von coco ehrlich gesagt auch net :-(

  6. Matthias said,

    July 7, 2008 @ 6:14 pm

    Ganz verstanden habe ich es auch nicht, sind etwa nur Linux User betroffen?

  7. moritz said,

    July 7, 2008 @ 6:18 pm

    Potentiall sind alle SSH-Benutzer betroffen, und unter Linux sind die wesentlich häufiger anzutreffen als unter Windows.

    Wer allerdings unter Windows einen DSA-Key benutzt hat, um sich mit einem betroffenen Linux-Rechner zu verbinden ist auch betroffen.

  8. Julia said,

    July 12, 2008 @ 10:26 am

    Musste auch erstma ein wenig stöbern. Aber irgendwie macht das ja Spaß, dann was zu lernen:)

  9. Rico said,

    July 18, 2008 @ 1:56 pm

    >>Server-Betreiber könnte das unangenehme Arbeit bedeuten.

    ohja. viel unangenehme arbeit kommt da auf einen zu

  10. Kai Uwe said,

    September 1, 2008 @ 8:39 am

    @rico: unangenehem arbeit ist ne nette umschreibung. eigentlich ist das ein chaos wo man auch schnell mal den überblick verlieren kann :)

  11. Falk said,

    October 5, 2008 @ 4:13 pm

    Ich weiß das Thema ist jetzt schon ein paar Tage alt, aber wurde denn der Fehler zwischenzeitlich behoben? Also gibt es jetzt bereits eine Version,in welcher der fehler behoben ist?

  12. Markus Kehl said,

    December 13, 2008 @ 6:50 am

    Das würde mich auch interessieren, wie ist der Stand?

RSS feed for comments on this post · TrackBack URI

Leave a Comment