Dva roky nikdo neřešil chybu v komponentě Debian OpenSSL, která nyní ohrožuje tisíce webových serverů a je hojně využívána na systémech s OS Linux. Podle britského serveru Guardian za vším stojí snaha vyřešit jiný problém se zdrojovým kódem OpenSSL, na který v roce 2006 narazil programátor Kurt Roeckx.
|
OpenSSl je šifrovací knihovna, která umožňuje šifrovat a dešifrovat data a generuje dlouhé řetězce náhodných čísel, které slouží jako bezpečnostní klíč. A právě zde na stal problém. Chyba v kódu umožnila, že klíče je velice jednoduché odhalit a soubory tak snadno dešifrovat. |
Roeckx tehdy nechal zdrojový kód knihovny prověřit programem Valgrid, který zahlásil potenciální chybu v části kódu. Programátor se pak obrátil na tvůrce OpenSSL, zda může problematické dvě řádky programu odstranit s tím, že neví, co to udělá při generování náhodných čísel.
"Pokud to pomůže k nalezení a odstranění potenciálního problému, odejměte je,“ odpověděl mu podle Guardianu Ulf Möller z OpenSSL. Roeckx to tedy provedl, avšak řádky nevymazal jen dočasně pro účely testování, jak se s Möllerem dohodl, ale úpravu pustil do finální verze. Navíc informaci o této změně poslal do nesprávné konference a tak se o tom další vývojáři Open SSL nedozvěděli.
Od té doby byla takto upravená knihovna šířena s řadou linuxových distribucí, jako je Ubuntu nebo Debian.
Bohužel však tato část kódu byla velice důležitá a bez ní knihovna vytvářela číselnou řadu, která využívala množství kombinací pouze 215 oproti standardním 2128. Velice jednoduše se tak mohl k obsahu zašifrovaných souborů dostat každý, kdo o chybě věděl. Slušný počítač totiž dokáže takový klíč rozlousknout za několik sekund.
Zneužít se to dalo například při ověřování digitálních certifikátů pro zabezpečený přístup ke stránkám nebo jejich ověření, případně při generování digitálního podpisu. Takový certifikát přitom mohla vydat jakákoliv seriózní organizace. Navíc se chyba netýká jen systémů Debian/Ubuntu, ale všech aplikací, kde jsou použity SSL klíče generované s použitím Roeckxem poškozené knihovny.
Problémy však nekončí ani s napravením problému. Právě již chybně generované klíče jen tak nezmizí. Debian OpenSSL je sice opraveno, ale důsledky přetrvávají.
