web-dev-qa-db-ja.com

弱いDebianのすべてのopenssl DSAキー

より弱いキー?分析用に32768個の弱いキーをダウンロードできますが、それ以上ありますか? 3倍?

DSA-1571-1 openssl-予測可能な乱数ジェネレータ に関する情報はたくさんあります。弱いDSAキー、またはブラックリストに登録されたキーフィンガープリントハッシュをダウンロードする いくつかのWebサイト もあります。

プレゼンテーション Predictable PRNG In the Vulnerable Debian OpenSSL Package-The What And The How は、PRNGは現在のプロセスIDだけでなく、ホストアーキテクチャと「内部状態」でも使用されます。プレゼンテーションの後半では、「(2 ^ 15 − 1)×3キー」が参照されています。32768(2 ^ 15)キーが最もDSAです私が見つけたキー( https://hdm.io/tools/debian-openssl/debian_ssh_dsa_1024_x86.tar.bz2 を参照)

PRNG問題による他の弱いDSA鍵はありますか?ある場合、それらはホストアーキテクチャと「内部状態」に起因しますか?これらの他の鍵は何ですか?それらは既知のセットから生成できますか? 32768の?

5
rickhg12hs

もしそうなら、それらはホストアーキテクチャによるものですか...

うん。

話から: "3倍、なぜならエンディアンとビットネスの間には3つの組み合わせがあるためです"

Debian wiki (archived here )から:(テキストは私が再フォーマットしました)

OpenSSLの壊れたバージョンは、プロセスIDによってのみシードされていました。

エンディアンとsizeof(long)の違いにより、出力はアーキテクチャ固有でした。

  • リトルエンディアン32ビット(例:i386)、
  • リトルエンディアン64ビット(例:AMD64ia64)、
  • ビッグエンディアン32ビット(例:powerpcsparc)。

PID 0はカーネルであり、PID_MAX(32768)はラップ時に到達しないため、アーキテクチャごとに32767の可能な乱数ストリームがありました。

これは(2 ^ 15-1)* 3または98301です。

既知の32768のセットから生成できますか?

ダンノ。そう思わないでください。 Debianにはパッケージがあります :(テキストは私が再フォーマットしました)

ブラックリストの範囲

現在の公式ブラックリスト(openssh-blacklist内)は、RSA-2048DSA-102432-bit little-endianシステムで生成された64-bit little-endianおよび32-bit big-endianキーをカバーしています。デフォルトのキー長を使用するユーザーをカバーするにはこれで十分ですが、一部のユーザーがより長いキー長を希望すると決定した場合は不十分です。

デフォルト以外のキーについては、3つのアーキテクチャすべてについて、openssh-blacklist-extraRSA-1024、および(空の)RSA-4096を含むDSA-2048を参照してください。

2
StackzOfZtuff