НОВОСТИ
Ошибка в одном из компонентов Debian ставит под угрозу криптографические ключи
Автор: Владимир Парамонов
Опубликовано 16 мая 2008 года
Известный специалист по вопросам компьютерной безопасности HD Moore предупреждает о наличии серьезной ошибки в одном из компонентов операционных систем Debian и Ubuntu, которая теоретически позволяет угадывать криптографические ключи.
Согласно опубликованной информации, проблема связана с пакетом OpenSSL. Данный пакет представляет собой открытую реализацию алгоритма шифрования Secure Sockets Layer (SSL), который применяется практически во всех веб-браузерах для защиты данных, передаваемых через Сеть.
Как удалось выяснить специалисту HD Moore, в 2006 году при проведении чистки кода с целью удаления участка, отвечающего за вывод некоторых предупреждений, была нарушена система генерации псевдослучайных чисел. В результате в процессе формирования криптографических ключей стали использоваться не случайные данные, а уникальные идентификаторы процессов, количество которых в Linux по умолчанию ограничено 32768.
Таким образом, по заявлениям HD Moore, имеется возможность для относительно быстрого подбора ключей. Эксперт, в частности, смог сгенерировать 1024- и 2048-битные ключи в течение всего двух часов. Подбор более сложных ключей занимает гораздо больше времени: например, на генерацию 8192-битного ключа RSA потребуется более 3000 часов машинного времени.
И, тем не менее, любые криптографические ключи, полученные на системах с Debian и Ubuntu, использующих OpenSSL версии 0.9.8c-1, не могут считаться надежными. На сайте проекта Debian уже выложены исправленная версия пакета OpenSSL, а также утилита, при помощи которой можно проверить стойкость криптографических ключей. Системным администраторам, на чьих платформах применяется версия OpenSSL 0.9.8c-1, рекомендуется после обновления пакета сгенерировать новые криптографические ключи.
Ссылки по теме
- США и ЕС обсуждают возможность обмена персональными данными своих граждан - 30 июня 2008 года
- Новая организация займется решением глобальных проблем компьютерной безопасности - 27 июня 2008 года
- Ошибка в одном из компонентов Debian ставит под угрозу криптографические ключи - 16 мая 2008 года
- Microsoft создала устройство для сбора улик на компьютерах - 30 апреля 2008 года
- IBM расширила спектр услуг по обеспечению информационной безопасности - 29 апреля 2008 года
- Предложена новая разновидность теста CAPTCHA - 24 апреля 2008 года
- IBM разрабатывает средства защиты виртуальных систем - 10 апреля 2008 года
- Немецкие ученые нашли способ обхода охранных систем на основе KeeLoq - 04 апреля 2008 года
- Adobe интегрировал во Flash DRM-средства - 19 марта 2008 года
- У Google Apps появилась система двухфакторной авторизации - 17 марта 2008 года
