Nachdem gestern Sicherheitslücken in OpenSSL und OpenSSH veröffentlicht wurden, wird heute erst so richtig die Tragweite dieser Fehler bekannt: Durch einen Fehler in ssleasy_rand_add(), den Debian-Entwickler, auch in Absprache mit OpenSSL-Entwicklern, behoben, wurden Zufallszahlen auf die Prozess-ID beschränkt. Diese wird in Linux mit 16-Bit angegeben, deckt also den Zahlbereich von 1-65.535 ab: Dies ist in Zeiten von Multi-Core-Prozessoren ein mehr als überschaubarer Bereich – was insbesondere Exploits provoziert.</p>
Durch den oben genannten Fehler ist es möglich, auf Server via SSH zuzugreifen, die einen solchen unsicheren Schlüssel benutzen und für die keine Passphrase angegeben wurde – was bei Server-to-Server-Kommunikation insbesondere bei automatischen Systemen durchaus vorkommt.
Zusätzlich hat dies zur Folge, dass auch sämtliche SSL-Zertifikate, die seit Einführung der Änderung Ende September 2006 erstellt wurden, als „kompromittiert“ gelten und ausgetauscht werden müssen. Je mehr Server nun betrieben werden, desto mehr Zertifikate müssen erneuert werden – bei uns wird der morgige Freitag mit einer Neugenerierung der entsprechenden Dateien verbraucht: Mailserver (SMTP, POP3, IMAP) sowie Webserver erhalten so neue Zertifikate.
Dass die Überschrift nicht ernst gemeint ist, dürfte jedem klar sein: Die Zeit, die für das erneuern aufgewendet wird, kann anderweitig nicht genutzt werden – und ist zusätzlich noch unbezahlt …
Auch unser in Entwicklung befindlicher [OpenVPN-Gateway](/2008/04/openvpn-gateway-in-testphase/) ist betroffen: Bei OpenVPN erfolgt die Authentifizierung üblicherweise über Zertifikate: besitzt ein Anwender ein korrekt signiertes Zertifikat, so wird die Verbindung gestattet. Bereits ausgestellte Zertifikate sind durch das erneute Generierung ungültig und nutzlos geworden.
Bei OpenVPN werden wir jedoch noch eine andere Lösung ausloten: Anstatt auf Authentifizierung über Zertifikate (Shared Secrets) zu setzen, ist – beispielsweise bei großen AccessPoints in Internet-Cafés – die Verwendung eines RADIUS-Servers möglich: Dieser bietet nicht nur eine zentrale Authentifizierungsstelle, sondern auch Traffic-Accounting.
Zusätzlich könnten wir ein weiteres Feature anbieten: Den Zugriff auf den Webspace-Account nicht nur via FTP, sondern auch über die Windows-Freigabe bzw. Samba (so heißt der Daemon, der die Windows-Freigabe auf UNIX/Linux-Systemen anbietet). Da Samba jedoch nicht gerade „sicher“ ist, muss der Zugriff verschlüsselt erfolgen – und genau hier setzt OpenVPN ein. Durch die verschlüsselte Verbindung könnte jeder Nutzer, nach Verbinden via VPN, auf den Server zugreifen und so bequem über ein Windows-Share die Daten managen.
Dies ist jedoch bisher nur angedacht, und noch nicht praktisch im Zusammenspiel mit Confixx erprobt!
Anregungen, Kommentare und Kritiken sind natürlich jederzeit erwünscht – erst Recht in der inoffiziellen Kategorie!
