Re: Debian-OpenSSL-Key-Debakel

Page principale
Attachements:
Message en tant que courrier électronique
+ (text/plain)
+ signature.asc (application/pgp-signature)
Supprimer ce message
Répondre à ce message
Auteur: Sebastian Harl
Date:  
À: list
Sujet: Re: Debian-OpenSSL-Key-Debakel
Hi,

On Sun, May 18, 2008 at 08:19:20PM +0200, Reinhard Tartler wrote:
> Sebastian Harl <sh@???> writes:
>
> > Wenn ich das richtig verstanden habe, ermoeglicht das soweit aber noch
> > keinen Zugriff auf den originalen _private_ Key (ausser dieser ist auf
> > einem geoeffneten System zu finden). Damit waere also auch kein Zugriff
> > auf die alte Passphrase des Keys moeglich.
> >
>
> Nein, die Sachlage scheint schlimmer. Bei DSA keys kann aufgrund der
> schwachen zufallszahlen auf direkt auf den Private Key geschlossen
> werden. D.h. es reicht dass jemand einen Datenverkehr mit einem solch
> kaputten system aufgezeichnet hat um auf die Session keys und damit auf
> den Inhalt zu schliessen.


Hmm, sorry - ich hab mich ungenau ausgedrueckt...

Kleine Disambiguierung:

* private key: eine (geheime) Zahl, die im Verschluesselungsalgorithmus
verwendet wird

* passphrase: Zeichenfolge, die verwendet wird, um den private key
verschluesselt auf der Platte abzulegen

Die passphrase wird von DSA / RSA nicht weiter verwendet, sie dient
lediglich dem Schutz des private keys (auf der Platte). Wird der
Schlussel verwendet, dann fragt OpenSSL nach der passphrase,
entschluesselt damit den private key und verwendet diesen dann im
gewuenschten Algorithmus. In die verschluesselt uebertragenen Daten
fliesst also nur der private key ein.

Wenn diese verschluesselten Daten nun also mitgelesen werden, dann kann
es passieren (wie Reinhard schrieb), dass auf Grund des verwendeten
schlechten Zufalls, auf den private key zurueckgeschlossen werden kann
und damit der Datenverkehr entschluesselt und mitgelesen werden kann
([1]).

Allerdings ist es nicht moeglich (so meine Vermutung und meine
eigentliche Aussage meiner urspruenglichen E-Mail), aus den erhaltenen
Daten auf die passphrase zurueckzuschliessen, da diese bei der
Uebertragung nicht mehr verwendet wird.

Damit waere es also nicht zwangslaeufig noetig, in neuen Schluesseln
eine neue Passphrase zu verwenden. ACHTUNG: Sollte jedoch eine
Verbindung kompromittiert worden sein, so sind alle darueber gelaufenen
Daten dem Angreifer bekannt. Sollten also ueber eine SSH-Verbindung z.B.
Passwoerter verwendet worden sein, so sind diese auch also
kompromittiert zu werten.

Ich hoffe, dass es jetzt klarer geworden ist.

Gruss,
Sebastian

[1] Der Vollstaendigkeit halber sollte hier noch erwaehnt werden, dass
das auch noch _nachtraeglich_ passieren kann. Wenn also
verschluesselter Traffic mitgeschnitten wurde (wobei eine kaputte
OpenSSL-Version im Spiel sein musste), dann kann also auch jetzt
immer noch daraus auf den Key zurueckgeschlossen werden und der
Traffic nachtraeglich gelesen bzw. der kompromittierte Schluessel
missbraucht werden.

PS: Dieses Thema koennte sicherlich leicht einen Vortragsstammtisch-
Abend fuellen und ich vermute, dass hieran einiges Interesse besteht.
Wer hat Lust, etwas mit mir vorzubereiten?

-- 
Sebastian "tokkee" Harl +++ GnuPG-ID: 0x8501C7FC +++ http://tokkee.org/


Those who would give up Essential Liberty to purchase a little Temporary
Safety, deserve neither Liberty nor Safety. -- Benjamin Franklin