Fork: LibreSSL hat Zufallsprobleme unter Linux

Unter bestimmten Umständen lieferte LibreSSL unter Linux dieselben Zufallszahlen mehrfach. Das Problem wurde in einem neuen Release behoben, die OpenBSD-Entwickler sehen aber das eigentliche Problem beim Linux-Kernel.

Artikel veröffentlicht am , Hanno Böck
Zufallszahlen, die sich wiederholen - ein katastrophaler Fehler
Zufallszahlen, die sich wiederholen - ein katastrophaler Fehler (Bild: Screenshot Hanno Böck)

Der OpenSSL-Fork LibreSSL hat wenige Tage nach seiner Veröffentlichung die erste größere Sicherheitslücke zu vermelden. Der Zufallszahlengenerator liefert unter bestimmten Umständen mehrmals dieselben Werte. Das Problem tritt im Zusammenhang mit der Funktion fork() auf und wurde von Andrew Ayer entdeckt. LibreSSL hat nun die Version 2.0.2 veröffentlicht, die einen Workaround für das Problem enthält. Doch die OpenBSD-Entwickler machen deutlich, dass sie das eigentliche Problem im Linux-Kernel sehen.

Stellenmarkt
  1. IT Inhouse Consultant CAD (m/w/d)
    MTU Aero Engines AG, München
  2. IT System Engineer (m/w/d) als IT Inhouse Consultant
    ODU GmbH & Co. KG. Otto Dunkel GmbH, Mühldorf am Inn
Detailsuche

Die Funktion fork() erstellt eine nahezu identische Kopie des aktuellen Prozesses. Auch der interne Status des Zufallszahlengenerators wird so dupliziert. LibreSSL versucht, den Aufruf von fork() anhand der Prozess-ID (PID) zu erkennen und initialisiert im Fall einer neuen PID den Zufallszahlengenerator erneut. Das Problem dabei: Die Prozess-IDs unter Linux sind lediglich 16 Bit lang und werden zufällig vergeben. Manchmal kann es daher vorkommen, dass ein Unterprozess dieselbe PID erhält. Zwei Aufrufe des Zufallszahlengenerators können daher in unterschiedlichen Prozessen dasselbe Ergebnis produzieren. Die korrekte Funktion des Zufallszahlengenerators ist für kryptographische Software essenziell. Wiederholte Zufallswerte können bei manchen Algorithmen - etwa bei DSA und ECDSA - sogar dazu führen, dass sich der private Schlüssel trivial berechnen lässt.

OpenSSL enthielt eine ganze Reihe von Funktionen und Workarounds, die sichere Zufallszahlen garantieren sollten. Dabei wird teilweise auf äußerst obskure Lösungen zurückgegriffen, so unterstützt OpenSSL beispielsweise die Einbindung eines Tools namens Entropy Gathering Daemon - ein Perl-Skript, das unter Systemen ohne zuverlässige Zufallszahlen mögliche Entropiequellen aus dem System anzapft.

Die Entwickler von LibreSSL halten die meisten dieser Ansätze für verfehlt und vertreten die Haltung, dass es Aufgabe des Betriebssystems sei, einen sicheren Zufallszahlengenerator bereitzustellen. Doch genau hier liegt das Problem: Während unter OpenBSD eine Kernel-Funktion zum Zugriff auf den Zufallszahlengenerator existiert, kommt Linux ohne eine solche aus. Hier existiert lediglich die virtuelle Datei /dev/urandom, auf die man mittels Dateioperationen zugreifen kann. Die Frage, ob der direkte Zugriff auf /dev/urandom eine mögliche Alternative darstellt, wird bereits mit zahlreichen Pro- und Contra-Argumenten auf Hacker News diskutiert. Ein Problem könnte sein, dass in bestimmten Umgebungen das dev-Dateisystem nicht zur Verfügung steht oder dass ein Dateisystemzugriff aufgrund einer Systemüberlastung fehlschlägt.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
Weitere IT-Trainings

OpenBSD-Entwickler Miod Vallat kommentiert sarkastisch auf Twitter, Leute, die sich über LibreSSLs Zufallszahlengenerator beschwerten, sollten lieber ihr Betriebssystem reparieren und eine vernünftige Zufallszahlenfunktion einbauen. Trotz des rauen Tons zwischen Linux- und OpenBSD-Entwicklern schreibt Linux-Entwickler Theodore Ts'o in einer Diskussion auf einer Mailingliste der Internet Engineering Task Force (IETF), dass er sich die Implementierung eines Syscalls für den Zufallszahlengenerator durchaus vorstellen könnte. Er sei allerdings nicht sicher, ob es dafür unter den Kernel-Entwicklern einen Konsens gebe.

Die Version 2.0.2 von LibreSSL hat nun zunächst einen Workaround für das Problem eingebaut. Mittels eines Callbacks, der beim Aufruf der fork()-Funktion aufgerufen wird, wird der Zufallszahlengenerator neu initialisiert. Andrew Ayer, der das Problem ursprünglich entdeckt hat, sieht darin zwar eine Verbesserung, ganz glücklich ist er mit der Lösung jedoch nicht. Denn ein Programm, das den Fork nicht über die entsprechende libc-Funktion auslöst, sondern stattdessen direkt den Kernel-Systemaufruf clone nutzt, wäre weiterhin von dem Problem betroffen. Trotz dieser verbleibenden Probleme ist natürlich allen LibreSSL-Nutzern unter Linux zu empfehlen, ein Update auf Version 2.0.2 durchzuführen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Sarowie 17. Jul 2014

Welche Ironie, dass Mac OS X und iOS sich die unixoide Basis teilen.

pythoneer 17. Jul 2014

Dann ist es leider Unwissen, wenn es ernst ist. Das musst du mir mal erklären, warum...

__destruct() 17. Jul 2014

Hab gedacht, es sei genauso. Den Artikel damals hab ich gelesen, bei diesem hier hab ich...

Rabbit 17. Jul 2014

Nur um es nochmal klarstellen: der RNG wird NICHT mit der PID geseedet. LibreSSL...

Rabbit 17. Jul 2014

Fast jeder Chipsatz hat mitterlweile ein TPM, welches u.a. auch RNG liefert in Hardware...



Aktuell auf der Startseite von Golem.de
Raumfahrt
SpaceX-Rakete stürzt voraussichtlich im März auf den Mond

Ob sich Elon Musk so die erste Ankunft einer SpaceX-Rakete auf dem Mond vorgestellt hat?

Raumfahrt: SpaceX-Rakete stürzt voraussichtlich im März auf den Mond
Artikel
  1. G413 SE, G413 TKL SE: Logitech bringt zwei mechanische Tastaturen für weniger Geld
    G413 SE, G413 TKL SE
    Logitech bringt zwei mechanische Tastaturen für weniger Geld

    Normalerweise sind mechanische Tastaturen von Logitech sehr teuer - nicht so die G413 SE und TKL SE. Die verzichten dafür auf RGB.

  2. Deutschland: E-Commerce wird immer mehr zum Normalfall
    Deutschland
    E-Commerce wird immer mehr zum Normalfall

    E-Commerce wird immer mehr als das Normale und Übliche empfunden, meint der Bundesverband E-Commerce und Versandhandel.

  3. Letzte Meile: Telekom will Preise für VDSL-Vermietung stark erhöhen
    Letzte Meile
    Telekom will Preise für VDSL-Vermietung stark erhöhen

    Die Telekom will von 1&1, Vodafone und Telefónica künftig erheblich mehr für die Anmietung der letzten Meile.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3090 24GB 2.349€ • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Razer Gaming-Maus 39,99€ • RX 6800XT 16GB 1.229€ • GOG New Year Sale: bis zu 90% Rabatt • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /