Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Kritická chyba: dva roky byly vaše zabezpečené komunikace nezabezpečené

  7:03aktualizováno  7:03
Závažná chyba při generování klíčů prostřednictvím systému Debian OpenSSL způsobuje bezpečnostní hrozbu, jejíž důsledky přetrvávají i po opravě a může mít vliv i na další operační systémy.
Chyba působila, jako kdybyste dali na svůj sejf obyčejný zámek.

Chyba působila, jako kdybyste dali na svůj sejf obyčejný zámek.

Dva roky nikdo neřešil chybu v komponentě Debian OpenSSL, která nyní ohrožuje tisíce webových serverů a je hojně využívána na systémech s OS Linux. Podle britského serveru Guardian za vším stojí snaha vyřešit jiný problém se zdrojovým kódem OpenSSL, na který v roce 2006 narazil programátor Kurt Roeckx.

OpenSSl je šifrovací knihovna, která umožňuje šifrovat a dešifrovat data a generuje dlouhé řetězce náhodných čísel, které slouží jako bezpečnostní klíč. A právě zde na stal problém. Chyba v kódu umožnila, že klíče je velice jednoduché odhalit a soubory tak snadno dešifrovat.


Roeckx tehdy nechal zdrojový kód knihovny prověřit programem Valgrid, který zahlásil potenciální chybu v části kódu. Programátor se pak obrátil na tvůrce OpenSSL, zda může problematické dvě řádky programu odstranit s tím, že neví, co to udělá při generování náhodných čísel.

"Pokud to pomůže k nalezení a odstranění potenciálního problému, odejměte je,“ odpověděl mu podle Guardianu Ulf Möller z OpenSSL. Roeckx to tedy provedl, avšak řádky nevymazal jen dočasně pro účely testování, jak se s Möllerem dohodl, ale úpravu pustil do finální verze. Navíc informaci o této změně poslal do nesprávné konference a tak se o tom další vývojáři Open SSL nedozvěděli.

Od té doby byla takto upravená knihovna šířena s řadou linuxových distribucí, jako je Ubuntu nebo Debian.

Bohužel však tato část kódu byla velice důležitá a bez ní knihovna vytvářela číselnou řadu, která využívala množství kombinací pouze 215 oproti standardním 2128. Velice jednoduše se tak mohl k obsahu zašifrovaných souborů dostat každý, kdo o chybě věděl. Slušný počítač totiž dokáže takový klíč rozlousknout za několik sekund.

Zneužít se to dalo například při ověřování digitálních certifikátů pro zabezpečený přístup ke stránkám nebo jejich ověření, případně při generování digitálního podpisu. Takový certifikát přitom mohla vydat jakákoliv seriózní organizace. Navíc se chyba netýká jen systémů Debian/Ubuntu, ale všech aplikací, kde jsou použity SSL klíče generované s použitím Roeckxem poškozené knihovny.

Problémy však nekončí ani s napravením problému. Právě již chybně generované klíče jen tak nezmizí. Debian OpenSSL je sice opraveno, ale důsledky přetrvávají.





Hlavní zprávy

Další z rubriky

Chraňte včas své elektronické zařízení.
Chraňte svůj tablet před viry a hackery a za odměnu si zahrajte

Bezpečnostní rizika dnes číhají i na majitele mobilních zařízení, takže jsme do dnešního přehledu zařadili i antivirovou aplikaci, která se postará i o ochranu...  celý článek

Zkuste si k videu složit vlastní hudbu ... trochu jinak.
Okořeňte svá videa vlastní hudbou a dejte Microsoftu ještě šanci

Microsoftu se v oblasti tabletů a chytrých telefonů příliš nedaří, nově však můžete zkusit prohlížeč Edge pro systém Android. V přehledu nechybí ani šikovný...  celý článek

První nativní 4K UHD Blu-ray na českém trhu.
Ochrana 4K Ultra HD Blu-ray podlehla. Nový program ji dokáže odstranit

Ochrana označovaná jako AACS 2.0 byla prolomena a už se objevil i program, který ji dokáže obejít a stáhnout video z 4K Blu-ray disků.  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.