[Linuxtrent] Re: Debian/Ubuntu e bug in OpenSSL: qualche spiegazione in piu'
- From: "Roberto Resoli" <roberto.resoli@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Thu, 15 May 2008 22:00:35 +0200
2008/5/15 Eugenio <eugenio.adami@xxxxxxxxx>:
> Il 15 maggio 2008 12.01, Emanuele Olivetti <emanuele@xxxxxxxxxxxxxx> ha
> scritto:
>> Ciao,
> ...........
>> E ora capisco meglio la gravita' della situazione:
>>
>> "The blacklists published by Debian and Ubuntu demonstrate just
>> how small the key space is. When creating a new OpenSSH key,
>> there are only 32,767 possible outcomes for a given architecture,
>> key size, and key type. The reason is that the only "random"
>> data being used by the PRNG is the ID of the process."
>>
>> Spero sia un'utile lettura per tutti.
> ..............
>>
>> E.
>
> E quindi? Mi sfugge il fatto. Non è possibile usare un random number
> di 10 cifre al posto del process ID?
già.
Il problema è che invece hanno usato il PID. E per due anni il numero
di coppie di chiavi generabili su un dato sistema debian non ha mai
superato le 32768.
Trovo sacrosanti i commenti esposti qui:
http://www.links.org/?p=327
Ciao
rob.
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: