Das OpenSSL-Problem - was nun?

Manch einem Admin wird erst jetzt so langsam die Tragweite des Debian OpenSSL-Problems bewusst. Während man bei schwachen SSH-Login-Keys sofort (im Sinne von jetzt gleich) handeln sollte, hat man bei OpenVPN-Keys und Zertifikaten wahrscheinlich noch etwas Zeit. Jedenfalls gibt es schon die ersten BruteForce-Tools für das Eindringen in SSH-Accounts.

In den letzten Tagen wurde viel über das Problem und die mögliche Lösung der Auswirkungen gesprochen, diskutiert und geschrieben. Hier eine kleine Auflistung von einigen nützlichen Texten zum Thema um Konfusion und Verunsicherung zu vermeiden:

Auf heise.de erschien ein guter Artikel, den man als ersten Leitfaden für das Beheben der “Schäden” nehmen kann. Angesprochen werden häufig eingesetzte Anwendungen und Verfahren, die auf möglicherweise schlechte Schlüssel zurückgreifen:

• Der kleine OpenSSL-Wegweiser, Gefahren, Tools und Maßnahmen im Überblick.

Dr. Oliver Diedrich spricht im folgenden Artikel etwas über den Hintergrund des Problems und dessen Folgen. Das Fazit, das er zieht: es war eigentlich Pech, dass es ausgerechnet Debian getroffen hat. Das hätte auch anderen passieren können…

• OpenSSL und die Folgen, heise open Artikel zum Hintergrund des Problems.

Die folgenden Newsmeldungen zeigen eine Art Historie vom Entdecken der Lücke bis zu den Konsequenzen. Diese Liste müsste in ein paar Tagen wahrscheinlich erweitert werden:

• OpenSSL-Schlüssel in Debian sind unsicher, golem.de, 13.05.2008
• Schwache Krypto-Schlüssel unter Debian, Ubuntu und Co., heise news, 13.05.2008
• Konsequenzen des OpenSSL-Debakels, heise news, 15.05.2008
• OpenSSL-Wirrwarr verunsichert Anwender und Admins, heise news, 16.05.2008

int getRandomNumber() {
        /* chosen by fair dice roll
         * guaranteed to be random */
        return 4;
}

Ganz so schlimm war der Code nicht, der das Problem verursachte, aber das Ergebnis war in etwa das gleiche. Der Zufallszahlen-Generator lieferte nicht immer die gleiche Zahl zurück aber eine von 2 ¹⁶ — die resultierenden Schlüssel sind dadurch sehr einfach vorhersagbar. Und genau das beschreibt der folgende Artikel auf metasploit.com. Unter anderem gibt es hier auch schon die ersten Anleitungen, wie man die vorberechneten Schlüsselpaket zum Login verwenden kann.

• Debian OpenSSL Predictable PRNG Toys, metasploit.com

SSH-Schlüssel sollten sofort! getauscht werden!

Im Gegensatz dazu findet man auf debian.org im Debian-Wiki eine extra für die SSL-Problematik eingerichtete Seite, die sich mit dem Aufspühren der schwachen Schlüssel sowie dem Tausch der Schlüssel in zahlreichen Anwendungen beschäftigt. Diese Seite sollte sich jeder Admin einmal näher ansehen:

• Debian Wiki — SSLkeys

Ansonsten wird das Problem bei vielen Admins viel Arbeit verursachen. Ich hatte weniger zu tun. Insgesamt hatte ich nur sechs Keys zu tauschen und zu verteilen. Das war kurz nach bekannt werden des Problems in nur wenigen Minuten getan. Alle anderen von mir betreuten Systeme hatten nur Schlüssel, die ich unter OpenBSD erstellt hatte. Zum Glück verwalte ich alle rootCAs ebenfalls auf einem OpenBSD-System — das auch alle anderen Zertifikate erstellt. Ansonsten hätte meine Kaffeemaschine wahrscheinlich Überstunden machen müssen…