A FreeBSD 11-CURRENT RNG-je hibás volt az elmúlt 4 hónapban

FreeBSD

John-Mark Gurney tegnap egy figyelmeztetést küldött a freebsd-current@ listára, amelyben arról számolt be, hogy FreeBSD 11-CURRENT ("bleeding edge" fejlesztői ág) RNG-je az elmúlt hónapokban hibásan működött. A figyelmeztetőben Gurney azt kéri, hogy ha valaki r273872 vagy újabb current kernelt futtat, akkor frissítsen mielőbb r278907 vagy újabb kernelre és generáltassa újra a kulcsait.

A hibás működésből kifolyólag a legtöbb/összes kulcs megjósolható lehet, ezért azokat újra kell generálni. Az érintett kulcsok körébe tartoznak (de a probléma nem korlátozódik azokra) az SSH kulcsok, vagy az OpenSSL által generált kulcsok.

Részletek a bejelentésben.

( Replaced | 2015. 02. 18., sze – 19:03 )

miert nem tesztelik?

--
NetBSD - Simplicity is prerequisite for reliability

( Som-Som | 2015. 02. 19., cs – 09:02 )

Bocsi, egyáltalán nem értek sem a titkosításhoz sem pl. TLS-hez, SSH-hoz, HTTPS-hez. De mint lelkes amatőr azért felmerül bennem a kérdés, hogy biztosan elég-e a kulcsok újragenerálása? Pl. ha törhető kulccsal titkosított SSH kapcsolaton jelentkeztem idáig be, akkor elkaphatták-e a jelszavamat? Esetleg a HTTPS-en átvitt bankkártyaadataimhoz hozzáférhettek-e? Mert ha igen, akkor esetleg nem csak a kulcsokat érdemes cserélni.

Igen, ha törhető kulccsal titkosított SSH/SSL/TLS/stb. csatornát használtál eddig, akkor az alatta levő rendszer kompromittálódhatott. A szerencse az, hogy éles rendszereket, különösen bankkártya adatokat kezelő rendszert nem szokás teszt fázisban levő disztribúcióra rakni.