Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Kritická chyba: dva roky byly vaše zabezpečené komunikace nezabezpečené

  7:03aktualizováno  7:03
Závažná chyba při generování klíčů prostřednictvím systému Debian OpenSSL způsobuje bezpečnostní hrozbu, jejíž důsledky přetrvávají i po opravě a může mít vliv i na další operační systémy.
Chyba působila, jako kdybyste dali na svůj sejf obyčejný zámek.

Chyba působila, jako kdybyste dali na svůj sejf obyčejný zámek.

Dva roky nikdo neřešil chybu v komponentě Debian OpenSSL, která nyní ohrožuje tisíce webových serverů a je hojně využívána na systémech s OS Linux. Podle britského serveru Guardian za vším stojí snaha vyřešit jiný problém se zdrojovým kódem OpenSSL, na který v roce 2006 narazil programátor Kurt Roeckx.

OpenSSl je šifrovací knihovna, která umožňuje šifrovat a dešifrovat data a generuje dlouhé řetězce náhodných čísel, které slouží jako bezpečnostní klíč. A právě zde na stal problém. Chyba v kódu umožnila, že klíče je velice jednoduché odhalit a soubory tak snadno dešifrovat.


Roeckx tehdy nechal zdrojový kód knihovny prověřit programem Valgrid, který zahlásil potenciální chybu v části kódu. Programátor se pak obrátil na tvůrce OpenSSL, zda může problematické dvě řádky programu odstranit s tím, že neví, co to udělá při generování náhodných čísel.

"Pokud to pomůže k nalezení a odstranění potenciálního problému, odejměte je,“ odpověděl mu podle Guardianu Ulf Möller z OpenSSL. Roeckx to tedy provedl, avšak řádky nevymazal jen dočasně pro účely testování, jak se s Möllerem dohodl, ale úpravu pustil do finální verze. Navíc informaci o této změně poslal do nesprávné konference a tak se o tom další vývojáři Open SSL nedozvěděli.

Od té doby byla takto upravená knihovna šířena s řadou linuxových distribucí, jako je Ubuntu nebo Debian.

Bohužel však tato část kódu byla velice důležitá a bez ní knihovna vytvářela číselnou řadu, která využívala množství kombinací pouze 215 oproti standardním 2128. Velice jednoduše se tak mohl k obsahu zašifrovaných souborů dostat každý, kdo o chybě věděl. Slušný počítač totiž dokáže takový klíč rozlousknout za několik sekund.

Zneužít se to dalo například při ověřování digitálních certifikátů pro zabezpečený přístup ke stránkám nebo jejich ověření, případně při generování digitálního podpisu. Takový certifikát přitom mohla vydat jakákoliv seriózní organizace. Navíc se chyba netýká jen systémů Debian/Ubuntu, ale všech aplikací, kde jsou použity SSL klíče generované s použitím Roeckxem poškozené knihovny.

Problémy však nekončí ani s napravením problému. Právě již chybně generované klíče jen tak nezmizí. Debian OpenSSL je sice opraveno, ale důsledky přetrvávají.





Hlavní zprávy

Další z rubriky

Ovládání klávesnice Windows očima.
Microsoft zkouší u Windows 10 ovládání očima

Microsoft přidal do testovací verze Windows 10 podporu systému Eye Control, který umožňuje ovládat počítač očima.   celý článek

Diskové úložiště
Speciální programy ukážou, co na disku nejvíce užírá volné místo

Znovuobjevit zapomenuté fotografie, najít založené či ztracené dokumenty anebo zjistit, zda některé soubory nemáte na diskovém úložišti vícekrát. To jsou...  celý článek

Foto: Freeimages.com
Stáhněte si zdarma: Vlastní analytik výkonu PC

Analýzu procesů s možností objevit ty škodlivé přenechte programu Whats My Computer Doing. Rychlé šifrování dat na jeden klik obstará Kryptelite. S PC dodávaný...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.