Schwache Krypto-Schlüssel unter Debian, Ubuntu und Co.

Die OpenSSL-Bibliothek der Linux-Distribution Debian erzeugt seit einem fehlerhaften Patch im Jahr 2006 schwache Krypto-Schlüssel. Der Sicherheitsexperte Luciano Bello entdeckten nun in dem OpenSSL-Paket eine kritische Schwachstelle, die die erzeugten Zufallszahlenfolgen und somit die erzeugten Schlüssel vorhersagbar macht. Das Problem betrifft nur Debian und davon abgeleitete Distribution wie Ubuntu und Knoppix. Für Debian stehen inzwischen fehlerbereinigte OpenSSL-Pakete bereit, in denen die Entwickler auch zwei weitere, kleinere Sicherheitsprobleme behoben haben. Andere Distributionen dürften in Kürze folgen.

Auf OpenSSL basiert die Verbindungssicherheit vieler wichtiger Netzwerkdienste, beispielsweise des Webservers Apache, des Log-in-Dienstes SSH, des OpenVPN-Dienstes, des Nameservers Bind, der E-Mail-Verschlüsselung S/MIME sowie die Vertrauenswürdigkeit digitaler Signaturen. Dies ermöglicht Angreifern unter Umständen, beispielsweise SSL-Verbindungen abzuhören und zu manipulieren, sich unautorisierten Zugriff auf SSH-Server zu verschaffen oder den Cache von DNS-Servern zu vergiften. Verschlüsselungsysteme wie PGP und GnuPG, die nicht auf SSL oder TLS basieren, sind nicht von dem Problem betroffen.

Laut einem Debian-Sicherheits-Advisory erzeugen alle OpenSSL-Pakete der Distribution seit einschließlich Version 0.9.8c-1 vom 17. September 2006 verwundbare Zufallszahlen. Die Debian-Maintainer empfehlen Anwendern und Admins, sämtliche von einer fehlerhaften Version ausgestellten Zertifikate und Schlüssel nach einem OpenSSL-Update neu zu erstellen. Gegebenenfalls sollten schwache X.509-Zertifikate zurückgerufen werden. Auch mit ihnen ausgestellte Chiffrate und Signaturen sollten laut Advisory als geknackt gelten.

Auf einer eigens eingestellten Webseite wollen die Entwickler in Kürze die notwendigen Schritte zum Schlüsseltausch für verschiedene Pakete veröffentlichen. Außerdem steht ein Perl-Skript zum Download bereit, das SSH-Server sowie SSH- und OpenVPN-Schlüsseldateien auf die Schwäche testen kann. Die kryptografischen Hintergründe der Schwachstelle hat Bello bislang offenbar noch nicht öffentlich dargelegt, vermutlich aus Angst vor frühzeitig zirkulierenden Exploits.

Siehe dazu auch:

• (DSA 1571-1) New openssl packages fix predictable random number generator, Sicherheits-Advisory des Debian-Projektes
• Der kleine OpenSSL-Wegweiser, Artikel von heise Security

(cr)