Kritická chyba: dva roky byly vaše zabezpečené komunikace nezabezpečené

  7:03aktualizováno  7:03
Závažná chyba při generování klíčů prostřednictvím systému Debian OpenSSL způsobuje bezpečnostní hrozbu, jejíž důsledky přetrvávají i po opravě a může mít vliv i na další operační systémy.
Chyba působila, jako kdybyste dali na svůj sejf obyčejný zámek.

Chyba působila, jako kdybyste dali na svůj sejf obyčejný zámek.

Dva roky nikdo neřešil chybu v komponentě Debian OpenSSL, která nyní ohrožuje tisíce webových serverů a je hojně využívána na systémech s OS Linux. Podle britského serveru Guardian za vším stojí snaha vyřešit jiný problém se zdrojovým kódem OpenSSL, na který v roce 2006 narazil programátor Kurt Roeckx.

OpenSSl je šifrovací knihovna, která umožňuje šifrovat a dešifrovat data a generuje dlouhé řetězce náhodných čísel, které slouží jako bezpečnostní klíč. A právě zde na stal problém. Chyba v kódu umožnila, že klíče je velice jednoduché odhalit a soubory tak snadno dešifrovat.


Roeckx tehdy nechal zdrojový kód knihovny prověřit programem Valgrid, který zahlásil potenciální chybu v části kódu. Programátor se pak obrátil na tvůrce OpenSSL, zda může problematické dvě řádky programu odstranit s tím, že neví, co to udělá při generování náhodných čísel.

"Pokud to pomůže k nalezení a odstranění potenciálního problému, odejměte je,“ odpověděl mu podle Guardianu Ulf Möller z OpenSSL. Roeckx to tedy provedl, avšak řádky nevymazal jen dočasně pro účely testování, jak se s Möllerem dohodl, ale úpravu pustil do finální verze. Navíc informaci o této změně poslal do nesprávné konference a tak se o tom další vývojáři Open SSL nedozvěděli.

Od té doby byla takto upravená knihovna šířena s řadou linuxových distribucí, jako je Ubuntu nebo Debian.

Bohužel však tato část kódu byla velice důležitá a bez ní knihovna vytvářela číselnou řadu, která využívala množství kombinací pouze 215 oproti standardním 2128. Velice jednoduše se tak mohl k obsahu zašifrovaných souborů dostat každý, kdo o chybě věděl. Slušný počítač totiž dokáže takový klíč rozlousknout za několik sekund.

Zneužít se to dalo například při ověřování digitálních certifikátů pro zabezpečený přístup ke stránkám nebo jejich ověření, případně při generování digitálního podpisu. Takový certifikát přitom mohla vydat jakákoliv seriózní organizace. Navíc se chyba netýká jen systémů Debian/Ubuntu, ale všech aplikací, kde jsou použity SSL klíče generované s použitím Roeckxem poškozené knihovny.

Problémy však nekončí ani s napravením problému. Právě již chybně generované klíče jen tak nezmizí. Debian OpenSSL je sice opraveno, ale důsledky přetrvávají.



Nejčtenější

Skrytý mechanismus zničil obraz za 30 milionů. Záhadný Banksy ukázal zuby

Banksy do svého obrazu zabudoval skartovačku.

Banksy, jeden z nejznámějších a zároveň nejzáhadnějších umělců, znovu šokoval umělecký svět. Ani ne tak úspěchem v...

Afrika do Evropy narazí, shodují se vědci. Budoucnost však zůstává záhadou

Předpověď budoucího pohybu kontinentů Christophera Scoteseho.

Zatímco rekonstrukce minulosti pohybu kontinentů je skutečná věda, jejich predikce je spíše koníček či spekulace....



Jeho fotky jsou až neskutečně nádherné. Podívejte se, jak vznikají

Kalendář 43. výsadkového praporu - Nic nepotěší potápěče průzkumného týmu po...

Jeho fotky výsadkářů z Chrudimi viděl téměř každý. Vypadají jako vystřižené z toho nejdražšího hollywoodského akčního...

Podívejte se, kdy vám vypnou současné televizní vysílání a co s tím udělat

Nelamte si s DVB-T2 hlavu. Vše podstatné se dozvíte níže.

Současné pozemní digitální televizní vysílání má před sebou poslední měsíce života. První vysílače budou vypnuty již...

Start lodě Sojuz MS-10 se nezdařil, modul s posádkou nouzově přistál

Start Sojuzu MS-10 z Bajkonuru 11. října 2018.

Čtvrteční start lodě Sojuz MS-10 z kosmodromu Bajkonur v Kazachstánu se nezdařil. Kvůli závadě na nosné raketě Sojuz...

Další z rubriky

Aplikace vám ohlídá pitný režim, jiná najde ovocný strom

Tablet pro práci i zábavu

Ve výběru zajímavých aplikací pro tablety tento týden najdete například aplikaci sdružující články ze zpravodajských...

Své androidí aplikace budete moci používat v počítači s Windows 10

Aplikace „Váš telefon“ v Microsoft Store.

Microsoft ohlásil novou funkci ve Windows 10, zrcadlení aplikací z telefonů se systémem Android.

Na Office nám nesahejte: Microsoft končí vývoj dotykové verze balíku

Dotykové ovládání - Microsoft Office 365

Microsoft do budoucna nepočítá s dotykovou verzí programů v rámci balíku Microsoft Office. Znamená to, že se zaměří na...



Najdete na iDNES.cz