Crypto ? Gibts sowas ?
Bisher war ich ja immer der Meinung, dass das mit dem Crypto schon klappen würde. Solange das öffentlich ist, würden Fehler da schon drin gefunden. DSA-1571 (gibts das schon auf T-Shirts) hat mir aber klar gemacht, dass ich mich auf crypto nicht verlassen kann. Wenn solch sicherheitsrelevante Projekte wie Openssl als random seed sowas wie uninitialisierten Speicher oder die PID benutzen, frage ich mich wirklich was das soll. Alle Welt redet davon dass /dev/urandom nicht sicher genug ist, und ich hab seit Jahren einen ssh-Key, der so leicht zu erraten ist, wie mein Vorname. Ich glaub es hackt. Ich muss mir dann jetzt wohl doch mal den Sourcecode von gnupg ansehen. Dumm nur, dass ich wahrscheinlich der letzte bin, der darin Fehler findet. Die Situation ist wirklich beunruhigend. Alles was irgendwie mit crypto zu tun hatte (ausser gpg) war komplett nicht sicher. Ich hab mal nachgesehen. Der nächste Server hier hat eine uptime von 150 Tagen und ist inzwischen bei PID 32000 angekommen. Alle meine Schlüssel habe ich auf meinem Laptop erstellt. Der hat eine Uptime von max 50 Tagen. Also eine PID wahrscheinlich unterhalb von 10000 ? Noch schlimmer bei ssh-host-keys. Die werden bei der Installation gebaut. Ich muss mal sehen, ob bei unserem Fai die PID dann eventuell immer genau die SELBE ist. Auf jeden Fall unter 2000. Jegliche Kommunikation mit von uns installierten Servern war abhörbar. Ich krieg das kotzen. Ich mach mir mal einen tcpdump von einer ssh-session. Mal sehen, wie einfach die entschlüsselt werden kann.