Todas las claves DSA débiles de Debian openssl

5

¿Más claves débiles? Se pueden descargar 32768 teclas débiles para su análisis, pero ¿hay más? ¿Tres veces más?

Hay mucha información sobre DSA-1571-1 openssl - generador de números aleatorios predecible . Incluso hay varios sitios web para descargar claves de DSA débiles, o hashes de huellas digitales clave en la lista negra.

La presentación PRNG predecible en el paquete vulnerable de Debian OpenSSL - El qué y el How dice que el PRNG no solo dependía de la ID del proceso actual, sino también de la arquitectura del host y el "estado interno". Más adelante en la presentación, se hace referencia a "(2 ^ 15 - 1) × 3 teclas". 32768 (2 ^ 15) son las claves más DSA que he encontrado. (Consulte enlace )

¿Existen otras claves de DSA débiles debido a este problema de PRNG? Si es así, ¿se deben a la arquitectura del host y al "estado interno"? ¿Cuáles son estas otras claves? ¿Se pueden generar a partir del conjunto conocido de 32768?

    
pregunta rickhg12hs 20.11.2016 - 20:18
fuente

1 respuesta

3
  

Si es así, ¿se deben a la arquitectura del host ...

Sí.

De la charla: "tres veces, porque hay tres combinaciones entre endianness y bitness" .

De la wiki de Debian (archivado here ): (texto reformateado por mí)

  

La versión rota de OpenSSL se estaba sembrando solo por la ID del proceso.

     

Debido a las diferencias entre endianness y sizeof(long) , la salida fue específica de la arquitectura:

     
  • little-endian de 32 bits (por ejemplo, i386 ),
  •   
  • little-endian 64bit (por ejemplo, amd64 , ia64 ),
  •   
  • big-endian de 32 bits (por ejemplo, powerpc , sparc ).
  •   

PID 0 es el kernel y PID_MAX (32768) no se alcanza al envolver, por lo que hubo 32767 posibles flujos de números aleatorios por arquitectura.

     

Esto es (2 ^ 15-1) * 3 o 98301.

.

  

¿Se pueden generar a partir del conjunto conocido de 32768?

No sé. No lo pienses Debian tiene paquetes para ellos : (texto reformateado por mí)

  

Ámbito de las listas negras

     

Las listas negras oficiales actuales (en openssh-blacklist ) cubren las claves RSA-2048 y DSA-1024 generadas en los sistemas 32-bit little-endian , 64-bit little-endian y 32-bit big-endian . Eso es suficiente para cubrir a los usuarios que usaron la longitud de clave predeterminada, pero no si algunos de sus usuarios decidieron que querían una longitud de clave más larga.

     

Para claves no predeterminadas, vea openssh-blacklist-extra que contiene RSA-1024 , RSA-4096 y (un vacío) DSA-2048 para las tres arquitecturas.

    
respondido por el StackzOfZtuff 21.11.2016 - 20:52
fuente

Lea otras preguntas en las etiquetas