Doppel-Dreifach-Mist
Die letzte Arbeitswoche begann so richtig schön: DSA-1571
Das Problem: der Zufall, den openssl verwendete, war nicht so zufällig, wie er sein sollte. Kryptographie ist aber auf zufälligen Zufall angewiesen, damit sie gut ist.
Die Auswirkungen fasste Florian Weimer auch gleich in dem Advisory zusammen:
It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.
Der Bug war zu allem Überfluß über alle Debian-basierenden Distributionen verteilt worden, die Ubuntus, Xandros und was weiß ich. Außerdem war er unentdeckt in die gegenwärtige Stable alias Etch gelangt: ein Wunder, sind die Release-Zyklen bei Debian eher plattentektonischer Natur. Nachdem openssl von vielen anderen Programmen eingebunden wird, beschränkte es sich nicht nur auf dieses sondern betraf eigentlich alles, was assymetrische Verschlüsselung einsetzt - außer GnuPG und GnuTLS.
Affected keys include SSH keys, OpenVPN keys, DNSSEC keys, and key material for use in X.509 certificates and session keys used in SSL/TLS connections. Keys generated with GnuPG or GNUTLS are not affected, though.
Doppel-Dreifach-Mist! Oder auch: Ganz große Biberkacke!
Discussion