[Generic/OpenSSL] Vorhersagbarkeit bei Zufallszahlenerzeugung
(2001-07-12 21:02:06+00) Druckversion
Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/07/msg00162.html
Durch eine Schwachstelle im Pseudo-Zufallszahlen-Generator von OpenSSL (PRNG) lassen sich die erzeugten Zufallszahlen unter Umständen voraussagen.
Betroffene Systeme
- Systeme mit OpenSSL vor Version 0.9.6b
Einfallstor
- Software, die kleine Zufallszahlen unter Verwendung des OpenSSL Pseudo-Zufallszahlen-Generators erzeugt, einige dieser Zufallszahlen veröffentlicht, und für das korrekte Funktionieren darauf angewiesen ist, daß sich andere Zufallszahlen nicht vorhersagen lassen.
Auswirkung
- Vorhersagbarkeit bei kurzen Zufallszahlen und damit
beispielsweise unsichere Erzeugung von Schlüsseln.
Typ der Verwundbarkeit
design flaw (Fehler in der Implementierung eines
Zufallszahlen-Generators).
Gefahrenpotential
mittel
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Der von OpenSSL verwendete Zufallszahlengenerator ermöglicht es,
aus kleinen erzeugten Zufallszahlen Rückschlüsse auf den internen
Zustand des Generators zu ziehen und so zukünftige Zufallszahlen
vorherzusagen.
Durch einen brute force Angriff liese sich die generierte Zahl
ermitteln. Dies ist bei einem langen Zufallswert nicht mehr einfach,
weil sich die Zahl der Möglichkeiten exponentiell erhöht. Die meisten
Programme verwenden lange Zufallswerte, so dass diese Schwachstelle
nicht lohnend auszunutzen ist.
Gegenmaßnahmen
- Update auf OpenSSL 0.9.6b.
Weitere Information zu diesem Thema
- http://cert.uni-stuttgart.de/archive/bugtraq/2001/07/msg00162.html
- http://cert.uni-stuttgart.de/archive/bugtraq/2001/07/msg00181.html
- http://cert.uni-stuttgart.de/archive/bugtraq/2001/07/msg00191.html
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.