elias5000
Site Reliability Engineer
Wie schon im Beitrag beschrieben, gab es da dieses OpenSSL-Issue in Debian und allen davon erbenden Distris.
Jetzt ist erwiesen, dass als einziger Input für den Seed die PID des Prozesses eingeflossen ist. Demnach gibt es pro Key-Size/-Type/Achitektur-Tripel nur maximal 32,768 verschiedene Schlüssel.
Unter Debian OpenSSL Predictable PRNG Toys lässt sich das nachlesen - auch wie der Autor die Schlüssellisten innerhalb weniger Stunden für jede Kombination erzeugen kann.
Jeder, der irgendeinen der betroffenen Schlüssel im Einsatz hat, sollte (nein, muss) sofort _alle_ Schlüssel durch neue ersetzen, die nach einem Update der betroffenen Programme erzeugt wurden.
Die Leute, die sich eine komplette CA damit aufgezogen haben tun mir jetzt echt leid.
Jetzt ist erwiesen, dass als einziger Input für den Seed die PID des Prozesses eingeflossen ist. Demnach gibt es pro Key-Size/-Type/Achitektur-Tripel nur maximal 32,768 verschiedene Schlüssel.
Unter Debian OpenSSL Predictable PRNG Toys lässt sich das nachlesen - auch wie der Autor die Schlüssellisten innerhalb weniger Stunden für jede Kombination erzeugen kann.
Jeder, der irgendeinen der betroffenen Schlüssel im Einsatz hat, sollte (nein, muss) sofort _alle_ Schlüssel durch neue ersetzen, die nach einem Update der betroffenen Programme erzeugt wurden.
Die Leute, die sich eine komplette CA damit aufgezogen haben tun mir jetzt echt leid.