Re: Debian-OpenSSL-Key-Debakel

Page principale
Attachements:
Message en tant que courrier électronique
+ (text/plain)
Supprimer ce message
Répondre à ce message
Auteur: Reinhard Tartler
Date:  
À: list
Sujet: Re: Debian-OpenSSL-Key-Debakel
Ralph Lindner <rl@???> writes:

> Ich gehe davon aus, dass man auch verhindern müsste, dass User nach
> Softwareupdates neue Keys mit alten Passworten erzeugen - denn dann
> könnte man von einem kompromittierten Key auf das alte - und damit neue
> Passwort schließen und somit wäre auch der neue Key kompromittiert -
> oder sehe ich das falsch? Wie kann man auf einem System mit vielen Usern
> und vielen Keys erreichen dass alle ein neues sicheres Passwort
> wählen?


http://lists.debian.org/debian-infrastructure-announce/2008/05/msg00000.html
http://lists.debian.org/debian-infrastructure-announce/2008/05/msg00001.html
http://lists.debian.org/debian-infrastructure-announce/2008/05/msg00003.html

Wenn jemand schon rausgefunden hat, wie man DSA keys in der sshd_config
komplett verbieten kann, bitte melden.

> @Sven: ich habe dich neulich nach Gründen gefragt, die gegen Ubuntu
> sprechen - nun ist einer dazu gekommen: Debian ;-)


Ubuntu ist genauso betroffen.

> Weiß jemand, welche Umstände zur Offenlegung dieses Fehlers geführt
> haben? Wodurch wurde er schließlich (nach 2 Jahren) entdeckt?


Meine momentane Vermutung ist, dass jemand zufaellig rausgefunden hat,
dass er mit seinem key auf ein system kommt, auf das er eigentlich nix
zu suchen haette, also eine zufaellige key kollision.

-- 
Gruesse/greetings,
Reinhard Tartler, KeyID 945348A4