Przez kilka ostatnich dni w miejscach poświęconych bezpieczeństwu huczało głównie na tematy związane z OpenSSL-em i łamaniem kluczy RSA. Ekipa Niebezpiecznika podchodzi do tych "rewelacji" z dużym dystansem, oto dlaczego.

Narzędzie pozwala nam ustalić czy serwis o podanym przez nas adresie posługuje się dobrym kluczem asymetrycznym przy obsłudze SSL/TLS. Sprawdza czy klucze serwera nie zostały czasami utworzone przez wadliwą wersję biblioteki OpenSSL dla Debiana -- miała ona kłopot z generowaniem pseudolosowych liczb.

Komentarze do dziury w OpenSSL w Debianie.

Opis sytuacji z błędem OpenSSL na Debianie, co się dzieje, co robić. Linki do komentarzy i security advisories.

W bibliotece OpenSSL w projekcie Debian GNU/Linux wykryto poważny błąd w implementacji generatora liczb losowych. W praktyce wszystkie wygenerowane za jej pomocą klucze kryptograficzne są przewidywalne i powinny być zainicjalizowane ponownie.

Odkryto błąd w algorytmie generowania CSR (Certificate Request) który powoduje generowanie "słabych" csrów które są łatwe do przewidzenia. Jest to chyba jedna z największych wpadek debiana ostatnich lat. Warto dodać że błąd istnieje od 2006 roku we wszystkich edycjach Debiana