Hi, On Sun, May 18, 2008 at 08:19:20PM +0200, Reinhard Tartler wrote: > Sebastian Harl writes: > > > Wenn ich das richtig verstanden habe, ermoeglicht das soweit aber noch > > keinen Zugriff auf den originalen _private_ Key (ausser dieser ist auf > > einem geoeffneten System zu finden). Damit waere also auch kein Zugriff > > auf die alte Passphrase des Keys moeglich. > > > > Nein, die Sachlage scheint schlimmer. Bei DSA keys kann aufgrund der > schwachen zufallszahlen auf direkt auf den Private Key geschlossen > werden. D.h. es reicht dass jemand einen Datenverkehr mit einem solch > kaputten system aufgezeichnet hat um auf die Session keys und damit auf > den Inhalt zu schliessen. Hmm, sorry - ich hab mich ungenau ausgedrueckt... Kleine Disambiguierung: * private key: eine (geheime) Zahl, die im Verschluesselungsalgorithmus verwendet wird * passphrase: Zeichenfolge, die verwendet wird, um den private key verschluesselt auf der Platte abzulegen Die passphrase wird von DSA / RSA nicht weiter verwendet, sie dient lediglich dem Schutz des private keys (auf der Platte). Wird der Schlussel verwendet, dann fragt OpenSSL nach der passphrase, entschluesselt damit den private key und verwendet diesen dann im gewuenschten Algorithmus. In die verschluesselt uebertragenen Daten fliesst also nur der private key ein. Wenn diese verschluesselten Daten nun also mitgelesen werden, dann kann es passieren (wie Reinhard schrieb), dass auf Grund des verwendeten schlechten Zufalls, auf den private key zurueckgeschlossen werden kann und damit der Datenverkehr entschluesselt und mitgelesen werden kann ([1]). Allerdings ist es nicht moeglich (so meine Vermutung und meine eigentliche Aussage meiner urspruenglichen E-Mail), aus den erhaltenen Daten auf die passphrase zurueckzuschliessen, da diese bei der Uebertragung nicht mehr verwendet wird. Damit waere es also nicht zwangslaeufig noetig, in neuen Schluesseln eine neue Passphrase zu verwenden. ACHTUNG: Sollte jedoch eine Verbindung kompromittiert worden sein, so sind alle darueber gelaufenen Daten dem Angreifer bekannt. Sollten also ueber eine SSH-Verbindung z.B. Passwoerter verwendet worden sein, so sind diese auch also kompromittiert zu werten. Ich hoffe, dass es jetzt klarer geworden ist. Gruss, Sebastian [1] Der Vollstaendigkeit halber sollte hier noch erwaehnt werden, dass das auch noch _nachtraeglich_ passieren kann. Wenn also verschluesselter Traffic mitgeschnitten wurde (wobei eine kaputte OpenSSL-Version im Spiel sein musste), dann kann also auch jetzt immer noch daraus auf den Key zurueckgeschlossen werden und der Traffic nachtraeglich gelesen bzw. der kompromittierte Schluessel missbraucht werden. PS: Dieses Thema koennte sicherlich leicht einen Vortragsstammtisch- Abend fuellen und ich vermute, dass hieran einiges Interesse besteht. Wer hat Lust, etwas mit mir vorzubereiten? -- Sebastian "tokkee" Harl +++ GnuPG-ID: 0x8501C7FC +++ http://tokkee.org/ Those who would give up Essential Liberty to purchase a little Temporary Safety, deserve neither Liberty nor Safety. -- Benjamin Franklin