Re: Debian-OpenSSL-Key-Debakel

Forside
Vedhæftede filer:
Indlæg som e-mail
+ (text/plain)
Slet denne besked
Besvar denne besked
Skribent: Reinhard Tartler
Dato:  
Til: list
Emne: Re: Debian-OpenSSL-Key-Debakel
Sebastian Harl <sh@???> writes:

> Wenn ich das richtig verstanden habe, ermoeglicht das soweit aber noch
> keinen Zugriff auf den originalen _private_ Key (ausser dieser ist auf
> einem geoeffneten System zu finden). Damit waere also auch kein Zugriff
> auf die alte Passphrase des Keys moeglich.
>


Nein, die Sachlage scheint schlimmer. Bei DSA keys kann aufgrund der
schwachen zufallszahlen auf direkt auf den Private Key geschlossen
werden. D.h. es reicht dass jemand einen Datenverkehr mit einem solch
kaputten system aufgezeichnet hat um auf die Session keys und damit auf
den Inhalt zu schliessen.

Ich bin grad im Hotel angekommen, so dass ich grad keine Referenzen
liefern kann, sorry.


-- 
Gruesse/greetings,
Reinhard Tartler, KeyID 945348A4