[Linuxtrent] Debian/Ubuntu e bug in OpenSSL: qualche spiegazione in piu'

From: Emanuele Olivetti <emanuele@xxxxxxxxxxxxxx>
To: linuxtrent@xxxxxxxxxxxxx
Date: Thu, 15 May 2008 12:01:46 +0200

Ciao,

sto leggendo questo articolo riguardo l'ormai notissimo
bug in OpenSSL di debian che sta creando un po' di lavoro
a tutti:
http://metasploit.com/users/hdm/tools/debian-openssl/
Ci sono le spiegazioni del caso illustrate in maniera
comprensibile.

E ora capisco meglio la gravita' della situazione:

"The blacklists published by Debian and Ubuntu demonstrate just
how small the key space is. When creating a new OpenSSH key,
there are only 32,767 possible outcomes for a given architecture,
key size, and key type. The reason is that the only "random"
data being used by the PRNG is the ID of the process."

Spero sia un'utile lettura per tutti.

Come segnalato su altre liste, il bug ricorda un po' una
vignetta di xkcd :)
http://imgs.xkcd.com/comics/random_number.png


E.


-- 
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Follow-Ups:
- [Linuxtrent] Re: Debian/Ubuntu e bug in OpenSSL: qualche spiegazione in piu'
  - From: Emanuele Olivetti
- [Linuxtrent] Re: Debian/Ubuntu e bug in OpenSSL: qualche spiegazione in piu'
  - From: Eugenio
- [Linuxtrent] Re: Debian/Ubuntu e bug in OpenSSL: qualche spiegazione in piu'
  - From: Roberto Resoli

[Linuxtrent] Debian/Ubuntu e bug in OpenSSL: qualche spiegazione in piu'

Other related posts: