====== Doppel-Dreifach-Mist ======

Die letzte Arbeitswoche begann so richtig schön: [[http://www.debian.org/security/2008/dsa-1571|DSA-1571]]

Das Problem: der Zufall, den //openssl// verwendete, war nicht so zufällig, wie er sein sollte. Kryptographie ist aber auf zufälligen Zufall angewiesen, damit sie gut ist.

Die Auswirkungen fasste Florian Weimer auch gleich in dem Advisory zusammen:

> It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.

Der Bug war zu allem Überfluß über alle Debian-basierenden Distributionen verteilt worden, die Ubuntus, Xandros und was weiß ich. Außerdem war er unentdeckt in die gegenwärtige Stable alias Etch gelangt: ein Wunder, sind die Release-Zyklen bei Debian eher plattentektonischer Natur. Nachdem //openssl// von vielen anderen Programmen eingebunden wird, beschränkte es sich nicht nur auf dieses sondern betraf eigentlich alles, was assymetrische Verschlüsselung einsetzt - außer //GnuPG// und //GnuTLS//.

> Affected keys include SSH keys, OpenVPN keys, DNSSEC keys, and key material for use in X.509 certificates and session keys used in SSL/TLS connections. Keys generated with GnuPG or GNUTLS are not affected, though.

**Doppel-Dreifach-Mist!** Oder auch: **Ganz große Biberkacke!**

{{tag>tech security}}


~~DISCUSSION~~