Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-418

[Generic/OpenSSL] Vorhersagbarkeit bei Zufallszahlenerzeugung
(2001-07-12 21:02:06+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/07/msg00162.html

Durch eine Schwachstelle im Pseudo-Zufallszahlen-Generator von OpenSSL (PRNG) lassen sich die erzeugten Zufallszahlen unter Umständen voraussagen.

Betroffene Systeme

Einfallstor

Auswirkung

Soweit das RUS-CERT informiert ist, existiert kaum Software, die so kurze Zufallszahlen verwendet, daß diese Schwachstelle ernsthafte Auswirkungen zeigen könnte.

Typ der Verwundbarkeit
design flaw (Fehler in der Implementierung eines Zufallszahlen-Generators).

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der von OpenSSL verwendete Zufallszahlengenerator ermöglicht es, aus kleinen erzeugten Zufallszahlen Rückschlüsse auf den internen Zustand des Generators zu ziehen und so zukünftige Zufallszahlen vorherzusagen. Durch einen brute force Angriff liese sich die generierte Zahl ermitteln. Dies ist bei einem langen Zufallswert nicht mehr einfach, weil sich die Zahl der Möglichkeiten exponentiell erhöht. Die meisten Programme verwenden lange Zufallswerte, so dass diese Schwachstelle nicht lohnend auszunutzen ist.

Gegenmaßnahmen

Weitere Information zu diesem Thema

(ig)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=418