You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-418

[Generic/OpenSSL] Vorhersagbarkeit bei Zufallszahlenerzeugung
(2001-07-12 21:02:06+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/07/msg00162.html

Durch eine Schwachstelle im Pseudo-Zufallszahlen-Generator von OpenSSL (PRNG) lassen sich die erzeugten Zufallszahlen unter Umständen voraussagen.

Betroffene Systeme

  • Systeme mit OpenSSL vor Version 0.9.6b

Einfallstor

  • Software, die kleine Zufallszahlen unter Verwendung des OpenSSL Pseudo-Zufallszahlen-Generators erzeugt, einige dieser Zufallszahlen veröffentlicht, und für das korrekte Funktionieren darauf angewiesen ist, daß sich andere Zufallszahlen nicht vorhersagen lassen.

Auswirkung

  • Vorhersagbarkeit bei kurzen Zufallszahlen und damit beispielsweise unsichere Erzeugung von Schlüsseln.
Soweit das RUS-CERT informiert ist, existiert kaum Software, die so kurze Zufallszahlen verwendet, daß diese Schwachstelle ernsthafte Auswirkungen zeigen könnte.

Typ der Verwundbarkeit
design flaw (Fehler in der Implementierung eines Zufallszahlen-Generators).

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der von OpenSSL verwendete Zufallszahlengenerator ermöglicht es, aus kleinen erzeugten Zufallszahlen Rückschlüsse auf den internen Zustand des Generators zu ziehen und so zukünftige Zufallszahlen vorherzusagen. Durch einen brute force Angriff liese sich die generierte Zahl ermitteln. Dies ist bei einem langen Zufallswert nicht mehr einfach, weil sich die Zahl der Möglichkeiten exponentiell erhöht. Die meisten Programme verwenden lange Zufallswerte, so dass diese Schwachstelle nicht lohnend auszunutzen ist.

Gegenmaßnahmen

Weitere Information zu diesem Thema

(ig)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.