[Technik] [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator
Michael Hierweck
team at edv-serviceteam.net
Thu May 15 19:30:20 CEST 2008
Paul Hink wrote:
> Michael Hierweck <team at edv-serviceteam.net> wrote:
>
>> Peter Davidsen wrote:
>
>>> Und eine Frage, sorry (wahrscheinlich in einer Debian-Liste besser
>>> aufgehoben, aber...)
>>>
>>> Die Blacklist ist ziemlich *klein*, die angenommene mögliche Zahl
>>> an Keys ziemlich gering. Die Scripte zum Testen aus dem Debian-Wiki
>>> habe ich über meine Rechner laufen lassen, bin mir aber nicht
>>> sicher, ob es nicht besser ist, alle Keys bzw. Zertifikate zu
>>> entsorgen. Ist es wirklich gesichert, dass nur Keys aus der
>>> Blacklist betroffen sind? Mal so ganz generell gefragt.
>> Da ich mir dahingehend ebenfalls nicht sicher bin und Vorsicht
>> bekanntlich die Mutter der Porzellankiste, hatte ich beschlossen alle
>> Keys und Zertifikate zu erneuern, die von 2006 und neuer sind.
>>
>> Glücklicherweise waren meine im Büro allesamt älter. Aber bei HS muss
>> ich nun wohl Dutzende in den Paketen ersetzen.
>
> AFAIK sollten auch Keys als kompromittiert betrachtet werden, die zwar
> mit einer sicheren OpenSSL/OpenSSH-Version erzeugt wurden, aber in der
> Zwischenzeit mit einer unsicheren Version verwendet wurden.
Da ich kein Krypto-Experte bin, erneuere ich dann mal alles. :-(
Sind die HS-Hives bereits so sicher, dass man sich mit diesen gefahrlos
verbinden und "neue" Keys übertragen kann?
Viele Grüße
Michael
--
EDV-Serviceteam Werthmann & Hierweck GbR
Annika Werthmann, Michael Hierweck
Egerstraße 53, 44225 Dortmund
http://www.edv-serviceteam.net
More information about the Technik
mailing list