Bojen-ParkplatzDas ist einer der schwärzesten Tage in der Debian-Geschichte.
]Da hat jemand der Debian-Community einen derben Bärendienst erwiesen. Alle seit dem 17.9.2006 erzeugten ssh-Keys (bei uns circa die Hälfte – 302 von genau 600 überprüften) sind schwach (weak key), müssen also ausgewechselt werden. Bei den ssl-Keys funktioniert bisher keine der angebotenen Prüfverfahren wirklich sicher. Bei zwei Schlüsseln vom selben Tag ist der eine Okay und der andere nicht – sehr unwahrscheinlich! Andere Verfahren (z.B. ssl-Key in ssh-Key umwandeln und dann prüfen) funktionieren bei mir überhaupt nicht.

Heute bekam ich sogar schon eine eMail von Strrryzatorryzrryz:

….
wir möchten Sie darüber informieren, dass das OpenSSL-Paket der Linux-Distribution Debian eine Schwachstelle aufweist. Diese ist durch einen Patch der Distribution entstanden und wirkt sich auf die erzeugten Zufallszahlenfolgen aus, was die erzeugten Schlüssel vorhersagbar macht.
….
Zusätzliche Informationen und weiterführende Links finden Sie unter:
http://www.heise.de/security/news/meldung/107808
http://www.debian.org/security/
https://lists.ubuntu.com/archives/ubuntu-security-announce/2008-May/thread.html
http://wiki.debian.org/SSLkeys
….

ich bin schon seit 1996 Kunde bei Strrryzatorryzrryz, kann mich aber an eine ähnlich eMail nicht entsinnen.
An der Stelle unbedingt nachzutragen, waere auch noch das Debian-Advisory [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator!

BrückeWie dem aber auch sei. Der tatsächliche ‚Verlierer‘ ist nicht nur Debian und seine Derivate. In Zukunft sollte man mit Atributen wie sicherste Distribution etwas vorsichtiger umgehen und auch Schadenfreude bei denn Distributions-Schwestern und -Brüdern wird der Tragweite des Problems in keinster weise gerecht.
Nein, der ‚Verlierer‘ ist die gesamte Open-Source-Gemeinde.

Nachtrag: Einen schönen Artikel habe ich auch noch im Blog von Sterryzfanrryzrryz gefunden.