より弱いキー?分析用に32768個の弱いキーをダウンロードできますが、それ以上ありますか? 3倍?
DSA-1571-1 openssl-予測可能な乱数ジェネレータ に関する情報はたくさんあります。弱いDSAキー、またはブラックリストに登録されたキーフィンガープリントハッシュをダウンロードする いくつかのWebサイト もあります。
プレゼンテーション Predictable PRNG In the Vulnerable Debian OpenSSL Package-The What And The How は、PRNGは現在のプロセスIDだけでなく、ホストアーキテクチャと「内部状態」でも使用されます。プレゼンテーションの後半では、「(2 ^ 15 − 1)×3キー」が参照されています。32768(2 ^ 15)キーが最もDSAです私が見つけたキー( https://hdm.io/tools/debian-openssl/debian_ssh_dsa_1024_x86.tar.bz2 を参照)
PRNG問題による他の弱いDSA鍵はありますか?ある場合、それらはホストアーキテクチャと「内部状態」に起因しますか?これらの他の鍵は何ですか?それらは既知のセットから生成できますか? 32768の?
もしそうなら、それらはホストアーキテクチャによるものですか...
うん。
話から: "3倍、なぜならエンディアンとビットネスの間には3つの組み合わせがあるためです" 。
Debian wiki (archived here )から:(テキストは私が再フォーマットしました)
OpenSSLの壊れたバージョンは、プロセスIDによってのみシードされていました。
エンディアンと
sizeof(long)
の違いにより、出力はアーキテクチャ固有でした。
- リトルエンディアン32ビット(例:
i386
)、- リトルエンディアン64ビット(例:
AMD64
、ia64
)、- ビッグエンディアン32ビット(例:
powerpc
、sparc
)。
PID 0
はカーネルであり、PID_MAX
(32768)はラップ時に到達しないため、アーキテクチャごとに32767の可能な乱数ストリームがありました。これは(2 ^ 15-1)* 3または98301です。
。
既知の32768のセットから生成できますか?
ダンノ。そう思わないでください。 Debianにはパッケージがあります :(テキストは私が再フォーマットしました)
ブラックリストの範囲
現在の公式ブラックリスト(
openssh-blacklist
内)は、RSA-2048
、DSA-1024
、32-bit little-endian
システムで生成された64-bit little-endian
および32-bit big-endian
キーをカバーしています。デフォルトのキー長を使用するユーザーをカバーするにはこれで十分ですが、一部のユーザーがより長いキー長を希望すると決定した場合は不十分です。デフォルト以外のキーについては、3つのアーキテクチャすべてについて、
openssh-blacklist-extra
、RSA-1024
、および(空の)RSA-4096
を含むDSA-2048
を参照してください。