Archdevil - 2008-05-26, 14:44 Temat postu: Poważny błąd w OpenSSL Open SSL to format szyfrowania danych stosowany w systemach opartych o jądro Linux, który stosowany jest między innymi w protokole SSH, VPN oraz w całej gamie różnych programów (np. klientach poczty elektronicznej) oraz na stronach internetowych. Okazuje się, że przez błąd programistów Debiana jeszcze z maja 2006 roku, bezpieczeństwo milionów użytkowników było (i nadal jest) zagrożone. Standardowo 128-bitowy klucz generowany przez OpenSSL może być jedną z 3.4*10^38 (2^128) kombinacji, której złamanie brutalnym atakiem jest praktycznie niemożliwe. Niestety przez błąd programu badającego kod źródłowy tego generatora, klucze wygenerowane przez OpenSSL miały tylko 32768 (2^15) kombinacji co znacznie ułatwia odnalezienie prawidłowej kombinacji. Błąd spowodował program Valgrind, który powinien skanować kod w poszukiwaniu furtek umożliwiających złamanie zabezpieczenia, a zrobił to poprzez zastąpienie bufora o losowej zawartości odpowiedzialnego za generacje klucza, ciągiem samych zer. W zamyśle programistów losowa zawartość bufora, na którą wpływ mają ruchy myszki czy nawet mikrodrgania talerzy dysku twardego pozwalała na generowanie losowego klucza, a program uznał to za błąd. W ten sposób zagrożeni są głównie użytkownicy systemu Debian i opartego o niego Ubuntu, a także kilku innych dystrybucji. Co więcej naprawa takiego błędu nie jest prosta, bo trzeba wszystkie klucze wygenerować powtórnie, a nie jest to taka prosta sprawa gdy mówimy być może nawet o kilku milionach kluczy. Specjaliści od zabezpieczeń zastanawiają się nawet czy nie było to celowe działanie jakiejś grupy osób, która omawiany błąd chciałaby wykorzystać do włamań i podglądania transmisji innych użytkowników sieci. Obecnie trwają prace nad poprawą implementacji OpenSSL w zagrożonych dystrybucjach. źródło: frazpc.pl 2^128, a 2^15 robi różnicę 
yampress - 2008-05-26, 15:24 Luka w oprogramowaniu juz dawno załatana. http://www.us.debian.org/security/2008/dsa-1571
no ale nie piszą, że ta liczba to liczba kluczy w skali światowej.... |
