Re: Debian-OpenSSL-Key-Debakel

Forside
Vedhæftede filer:
Indlæg som e-mail
+ (text/plain)
Slet denne besked
Besvar denne besked
Skribent: Reinhard Tartler
Dato:  
Til: list
Emne: Re: Debian-OpenSSL-Key-Debakel
Ralph Lindner <rl@???> writes:

> Ich gehe davon aus, dass man auch verhindern müsste, dass User nach
> Softwareupdates neue Keys mit alten Passworten erzeugen - denn dann
> könnte man von einem kompromittierten Key auf das alte - und damit neue
> Passwort schließen und somit wäre auch der neue Key kompromittiert -
> oder sehe ich das falsch? Wie kann man auf einem System mit vielen Usern
> und vielen Keys erreichen dass alle ein neues sicheres Passwort
> wählen?


http://lists.debian.org/debian-infrastructure-announce/2008/05/msg00000.html
http://lists.debian.org/debian-infrastructure-announce/2008/05/msg00001.html
http://lists.debian.org/debian-infrastructure-announce/2008/05/msg00003.html

Wenn jemand schon rausgefunden hat, wie man DSA keys in der sshd_config
komplett verbieten kann, bitte melden.

> @Sven: ich habe dich neulich nach Gründen gefragt, die gegen Ubuntu
> sprechen - nun ist einer dazu gekommen: Debian ;-)


Ubuntu ist genauso betroffen.

> Weiß jemand, welche Umstände zur Offenlegung dieses Fehlers geführt
> haben? Wodurch wurde er schließlich (nach 2 Jahren) entdeckt?


Meine momentane Vermutung ist, dass jemand zufaellig rausgefunden hat,
dass er mit seinem key auf ein system kommt, auf das er eigentlich nix
zu suchen haette, also eine zufaellige key kollision.

-- 
Gruesse/greetings,
Reinhard Tartler, KeyID 945348A4