[Technik] [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator
Paul Hink
email at p-hink.de
Thu May 15 19:10:04 CEST 2008
Michael Hierweck <team at edv-serviceteam.net> wrote:
> Peter Davidsen wrote:
> > Und eine Frage, sorry (wahrscheinlich in einer Debian-Liste besser
> > aufgehoben, aber...)
> >
> > Die Blacklist ist ziemlich *klein*, die angenommene mögliche Zahl
> > an Keys ziemlich gering. Die Scripte zum Testen aus dem Debian-Wiki
> > habe ich über meine Rechner laufen lassen, bin mir aber nicht
> > sicher, ob es nicht besser ist, alle Keys bzw. Zertifikate zu
> > entsorgen. Ist es wirklich gesichert, dass nur Keys aus der
> > Blacklist betroffen sind? Mal so ganz generell gefragt.
>
> Da ich mir dahingehend ebenfalls nicht sicher bin und Vorsicht
> bekanntlich die Mutter der Porzellankiste, hatte ich beschlossen alle
> Keys und Zertifikate zu erneuern, die von 2006 und neuer sind.
>
> Glücklicherweise waren meine im Büro allesamt älter. Aber bei HS muss
> ich nun wohl Dutzende in den Paketen ersetzen.
AFAIK sollten auch Keys als kompromittiert betrachtet werden, die zwar
mit einer sicheren OpenSSL/OpenSSH-Version erzeugt wurden, aber in der
Zwischenzeit mit einer unsicheren Version verwendet wurden.
Paul
More information about the Technik
mailing list