Debian-OpenSSL-Key-Debakel

Startseite
Anhänge:
Nachricht
+ (text/plain)
Nachricht löschen
Nachricht beantworten
Autor: Ralph Lindner
Datum:  
To: Linux User Schwabach
Betreff: Debian-OpenSSL-Key-Debakel
Mein aktuelles Lieblingsposter
http://www.gergely.risko.hu/debian-dsa1571/dilbert9.jpg
...auch schön:
http://www.gergely.risko.hu/debian-dsa1571/random4.jpg

Ich gehe davon aus, dass man auch verhindern müsste, dass User nach
Softwareupdates neue Keys mit alten Passworten erzeugen - denn dann
könnte man von einem kompromittierten Key auf das alte - und damit neue
Passwort schließen und somit wäre auch der neue Key kompromittiert -
oder sehe ich das falsch? Wie kann man auf einem System mit vielen Usern
und vielen Keys erreichen dass alle ein neues sicheres Passwort wählen?

@Sven: ich habe dich neulich nach Gründen gefragt, die gegen Ubuntu
sprechen - nun ist einer dazu gekommen: Debian ;-)

Ich wünsche allen Webmastern/Admins etc. ein schönes Wochenende und viel
Spaß beim Generieren neuer Keys!

Ich hoffe ihr versteht meinen Galgenhumor, aber ich finde es schon
absolut wahnsinnig, dass ein Maintainer von einem so kritischen
Debian-Paket einfach Code, den er nicht versteht auskommentiert, siehe
"What I currently see as best option is to actually comment out
those 2 lines of code. But I have no idea what effect this
really has on the RNG. "
(http://marc.info/?l=openssl-dev&m=114651085826293&w=2)

Erinnert mich irgendwie an Sledge Hammer, "trust me - i know what i?m
doing!"

Weiß jemand, welche Umstände zur Offenlegung dieses Fehlers geführt
haben? Wodurch wurde er schließlich (nach 2 Jahren) entdeckt?

Viele Grüße
Ralph