Linux Ubuntu

Linux Ubuntu

Linux Ubuntu an more

Linux Ubuntu News and help

Kryptonycklar i Debianbaserade Linux distributioner

Allt om UbuntuSkapad av Jörgen Halex tis, januari 14, 2014 10:25:59

Kryptonycklar i Debianbaserade Linux distributioner

På grund av en brist i Open SSL-paketet från Debian måste alla tas ur trafik och ersättas genom ny nyckel efter september 2006 under Debian (och distributioner som bygger på det, till exempel Ubuntu eller Knoppix) genererade nyckeln. Detta är särskilt viktigt för SSH, Open VPN eller SSL-certifikat. I synnerhet måste motsvarande publika nyckel tas bort från alla system där de används för autentisering.

Oskyddade system:

Alla system då den felaktiga nyckeln materialet används. Men inte bara de system som det viktigaste materialet genereras!

Backgrund:

På grund av felaktig modifiering av Open SSL-paketet maj 2006 i Debian/instabile, och Debian/etch var i användningen av dessa distributioner och dess resultera distributioner såsom Ubuntu, Knoppix, ... Sedan 2006 producerar felaktig krypteringsnyckel. Felet påverkade så att när nyckelgenerering via Open SSL per nyckel typ 32767 olika nycklar var bara möjligt! Detta gäller både nycklar som genererades direkt med Open SSL, och nycklar som har skapats i andra program, om dessa program i sin tur stöds på Open SSL.

Berörda Programvarupaket inkluderar:

Open SSH

SSL-anslutningar (t.ex. HTTPS)

Rörelse egna PKI hierarkier

Dropbear

OpenVPN

encfs

TOR

En lista med Debian eller Ubuntu-baserade distributioner finns på den här länken. Distributörerna tillhandahåller aktuella justerade Open SSL paket för omhändertagande, där felet har korrigerats i nyckelgenerering.

Effekter:

Den kritiska faktorn är att produceras av det defekta paketet nyckel, eftersom de kan användas för identifiering och autentisering av användare och datorer. Detta gäller till exempel Open SSH hjälp av " authorized_keys " fil för inloggning utan lösenord till. Det räcker inte med det, helt enkelt skapa en ny nyckel och spara på målsystemet. I stället måste alla referenser återbetalas till den defekta nyckeln, eftersom målsystemet, till exempel, en användare identifieras enbart på grund av den publika nyckeln lagras där vid användning authorized_keys , genom att se genom kryptografiska metoder som användaren är i besittning av den motsvarande hemlig / privat nyckel .

Alla möjliga nycklar förberäknas nu tillgängliga på Internet. Likaså finns det program som skannar systemen enligt skadade publika nycklar. En angripare kan alltså leta upp den tillhörande hemliga nyckel direkt i listan med kunskap om den publika nyckeln. Om den publika nyckeln inte är allmänt känd, då angriparen kan helt enkelt prova alla den kända nyckel, vilket inte är särskilt dyrt på 32 767 optioner per nyckel typ.

Rekommenderat förfarande:

1 Ta bort defekta publika nycklar från respektive filer (t.ex. authorized_keys)

2 Generera nya nycklar, om det befintliga materialet skapades under en drabbade datorn.

3 Speciellt för servrar är att kontrollera om defekt nyckel material används för åtkomstkontroll.

4 Begränsning i målsystemet särskilt SSH tillgång till nödvändiga konton/avlägsna platser

för mer information. Debians wiki innehåller ytterligare information.

Kontroll av SSH-nycklar på Debians sårbarhet

För befintliga offentliga nyckel för att kontrollera denna sårbarhet har Debianprojektet skapade ett skript. Detta är en "snabbtest" för att SSH-värdnycklar, användarnycklar (och efter lämplig behandling) också kontrollera SSL-nycklar. Tyvärr kommer detta script testa den bara nycklar som har skapats med standardalternativen (storlek, typ) och även i dessa bara de mest sann knapparna är tydligen testade.

Anm: Skriptet innehåller en kommentar, enligt den fullständiga signaturerna som finns kan inte garanteras!

Skriptet anropas med:

# Perl dowkd.pl <kommando> <Parameter>

Om inga kommandon skickas, sedan en kort hjälpmeddelande visas:

# Perl dowkd.pl

Testa värdnycklar (även tillgängliga via nätet)

Testet görs som en vanlig användare med:

# Perl dowkd.pl värd <host1> <host2> ...

Exempel:

# Perl dowkd.pl host webhost

# Localhost SSH-2.0-OpenSSH_4.7

# Webhost SSH-1,99-OpenSSH_4.2

# Localhost SSH-2.0-OpenSSH_4.7

# Webhost SSH-1,99-OpenSSH_4.2

host: svag nyckel

host: svag nyckel

Testa de publika nycklarna i användarkataloger

Tested filerna " authorized_keys " , " authorized_keys2 " , " known_hosts " , " id_rsa.pub " och " id_dsa.pub " . Som en vanlig användare kan du bara kontrollera sina egna Publlic Keys . Som root, är det möjligt att testa nycklarna för alla användare.

Samtalet sker med:

# Perl dowkd.pl user <användarnamn>

Exempel (inloggad som testuser) :

# Perl dowkd.pl användaren testuser

. / Hem / testuser / ssh / authorized_keys : 1 : varning : unparsable linje

. / Hem / testuser / ssh / authorized_keys : 2 : varning : unparsable linje

. / Hem / testuser / ssh / authorized_keys : 3 : varning : ingen lämplig svartlista

. / Hem / testuser / ssh / authorized_keys : 5 : varning : svag nyckel

. / Hem / testuser / ssh / known_hosts : 48 : svag nyckel

I rad 1 och 2 av " authorized_keys " filen innehåller material som inte är erkänd av skriptet som ett viktigt material (t.ex. kommentarer )

I rad 3 i " authorized_keys " lämna en nyckel ingår med formatet (RSA/DSA nyckel storlek + ) , gör skriptet inte har en lista med felaktig nyckel . Om sannolikheten att nyckeln har skapats på ett påverkat system, då är det starkt rekommenderat att byta ut honom.

I rad 5 i " authorized_keys " filen definitivt skadat allmän nyckel ingår, vilket ger tillgång till kontot. Denna nyckel måste bytas.

I " known_hosts " lämna en defekt värdnyckel i ett system har visat sig som användaren har anslutit i det förflutna. Den lokala värdnyckeln måste bytas ut.

Försök med andra filer

De ovanstående kommandona ser i fast förutbestämda ställen i systemet enligt den specificerade filnamnet. Andra filer kan testas med följande uppmaning:

# Perl dowkd.pl <filnamn>



  • Kommentarer(0)//linux-ubuntu.it-losningar-och-it-sakerhet.se/#post3