Abo
  • Services:
Anzeige
Zufallszahlen, die sich wiederholen - ein katastrophaler Fehler
Zufallszahlen, die sich wiederholen - ein katastrophaler Fehler (Bild: Screenshot Hanno Böck)

Fork: LibreSSL hat Zufallsprobleme unter Linux

Unter bestimmten Umständen lieferte LibreSSL unter Linux dieselben Zufallszahlen mehrfach. Das Problem wurde in einem neuen Release behoben, die OpenBSD-Entwickler sehen aber das eigentliche Problem beim Linux-Kernel.

Anzeige

Der OpenSSL-Fork LibreSSL hat wenige Tage nach seiner Veröffentlichung die erste größere Sicherheitslücke zu vermelden. Der Zufallszahlengenerator liefert unter bestimmten Umständen mehrmals dieselben Werte. Das Problem tritt im Zusammenhang mit der Funktion fork() auf und wurde von Andrew Ayer entdeckt. LibreSSL hat nun die Version 2.0.2 veröffentlicht, die einen Workaround für das Problem enthält. Doch die OpenBSD-Entwickler machen deutlich, dass sie das eigentliche Problem im Linux-Kernel sehen.

Die Funktion fork() erstellt eine nahezu identische Kopie des aktuellen Prozesses. Auch der interne Status des Zufallszahlengenerators wird so dupliziert. LibreSSL versucht, den Aufruf von fork() anhand der Prozess-ID (PID) zu erkennen und initialisiert im Fall einer neuen PID den Zufallszahlengenerator erneut. Das Problem dabei: Die Prozess-IDs unter Linux sind lediglich 16 Bit lang und werden zufällig vergeben. Manchmal kann es daher vorkommen, dass ein Unterprozess dieselbe PID erhält. Zwei Aufrufe des Zufallszahlengenerators können daher in unterschiedlichen Prozessen dasselbe Ergebnis produzieren. Die korrekte Funktion des Zufallszahlengenerators ist für kryptographische Software essenziell. Wiederholte Zufallswerte können bei manchen Algorithmen - etwa bei DSA und ECDSA - sogar dazu führen, dass sich der private Schlüssel trivial berechnen lässt.

OpenSSL enthielt eine ganze Reihe von Funktionen und Workarounds, die sichere Zufallszahlen garantieren sollten. Dabei wird teilweise auf äußerst obskure Lösungen zurückgegriffen, so unterstützt OpenSSL beispielsweise die Einbindung eines Tools namens Entropy Gathering Daemon - ein Perl-Skript, das unter Systemen ohne zuverlässige Zufallszahlen mögliche Entropiequellen aus dem System anzapft.

Die Entwickler von LibreSSL halten die meisten dieser Ansätze für verfehlt und vertreten die Haltung, dass es Aufgabe des Betriebssystems sei, einen sicheren Zufallszahlengenerator bereitzustellen. Doch genau hier liegt das Problem: Während unter OpenBSD eine Kernel-Funktion zum Zugriff auf den Zufallszahlengenerator existiert, kommt Linux ohne eine solche aus. Hier existiert lediglich die virtuelle Datei /dev/urandom, auf die man mittels Dateioperationen zugreifen kann. Die Frage, ob der direkte Zugriff auf /dev/urandom eine mögliche Alternative darstellt, wird bereits mit zahlreichen Pro- und Contra-Argumenten auf Hacker News diskutiert. Ein Problem könnte sein, dass in bestimmten Umgebungen das dev-Dateisystem nicht zur Verfügung steht oder dass ein Dateisystemzugriff aufgrund einer Systemüberlastung fehlschlägt.

OpenBSD-Entwickler Miod Vallat kommentiert sarkastisch auf Twitter, Leute, die sich über LibreSSLs Zufallszahlengenerator beschwerten, sollten lieber ihr Betriebssystem reparieren und eine vernünftige Zufallszahlenfunktion einbauen. Trotz des rauen Tons zwischen Linux- und OpenBSD-Entwicklern schreibt Linux-Entwickler Theodore Ts'o in einer Diskussion auf einer Mailingliste der Internet Engineering Task Force (IETF), dass er sich die Implementierung eines Syscalls für den Zufallszahlengenerator durchaus vorstellen könnte. Er sei allerdings nicht sicher, ob es dafür unter den Kernel-Entwicklern einen Konsens gebe.

Die Version 2.0.2 von LibreSSL hat nun zunächst einen Workaround für das Problem eingebaut. Mittels eines Callbacks, der beim Aufruf der fork()-Funktion aufgerufen wird, wird der Zufallszahlengenerator neu initialisiert. Andrew Ayer, der das Problem ursprünglich entdeckt hat, sieht darin zwar eine Verbesserung, ganz glücklich ist er mit der Lösung jedoch nicht. Denn ein Programm, das den Fork nicht über die entsprechende libc-Funktion auslöst, sondern stattdessen direkt den Kernel-Systemaufruf clone nutzt, wäre weiterhin von dem Problem betroffen. Trotz dieser verbleibenden Probleme ist natürlich allen LibreSSL-Nutzern unter Linux zu empfehlen, ein Update auf Version 2.0.2 durchzuführen.


eye home zur Startseite
Sarowie 17. Jul 2014

Welche Ironie, dass Mac OS X und iOS sich die unixoide Basis teilen.

pythoneer 17. Jul 2014

Dann ist es leider Unwissen, wenn es ernst ist. Das musst du mir mal erklären, warum...

__destruct() 17. Jul 2014

Hab gedacht, es sei genauso. Den Artikel damals hab ich gelesen, bei diesem hier hab ich...

Rabbit 17. Jul 2014

Nur um es nochmal klarstellen: der RNG wird NICHT mit der PID geseedet. LibreSSL...

Rabbit 17. Jul 2014

Fast jeder Chipsatz hat mitterlweile ein TPM, welches u.a. auch RNG liefert in Hardware...



Anzeige

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Bremen, Hamburg, Berlin, Braunschweig, Wolfsburg
  2. InterComponentWare AG, Walldorf
  3. Engelhorn KGaA, Mannheim
  4. Robert Bosch GmbH, Reutlingen


Anzeige
Top-Angebote
  1. Alte PS4 inkl. Controller + 2 Spiele + 99,99€ = PlayStation 4 Pro (1TB) | +++ACHTUNG+++ Man kann...
  2. 13,99€
  3. 561,11€

Folgen Sie uns
       


  1. Daimler

    Stromspeicher mit Mercedes-Stern für Sonnenenergie

  2. Spielentwickler

    Männlich, 34 Jahre alt und unterbezahlt

  3. Kontrollzentrum

    Drei Finger und das iPhone stürzt ab

  4. Supercharger

    Tesla will Ladestationsnetzwerk verdoppeln

  5. Internet of Things

    Bricker Bot soll 2 Millionen IoT-Geräte zerstört haben

  6. HP, Philips, Fujitsu

    Bloatware auf Millionen Notebooks ermöglicht Codeausführung

  7. Mali-C71

    ARM bringt seinen ersten ISP für Automotive

  8. SUNET

    Forschungsnetz erhält 100 GBit/s und ROADM-Technologie

  9. Cisco

    Kontrollzentrum verwaltet Smartphones im Unternehmen

  10. Datenschutz

    Facebook erhält weiterhin keine Whatsapp-Daten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Moto G5 und Moto G5 Plus im Test: Lenovo kehrt zur bewährten Motorola-Tradition zurück
Moto G5 und Moto G5 Plus im Test
Lenovo kehrt zur bewährten Motorola-Tradition zurück
  1. Miix 720 Lenovos High-End-Detachable ist ab 1.200 Euro erhältlich
  2. Lenovo Händler nennt Details des Moto G5
  3. Miix 320 Daten zu Lenovos neuem 2-in-1 vorab veröffentlicht

Miniatur Wunderland: Schiffe versenken die schönsten Pläne
Miniatur Wunderland
Schiffe versenken die schönsten Pläne
  1. Transport Üo, der fahrbare Ball
  2. Transport Sea Bubbles testet foilendes Elektroboot
  3. Verkehr Eine Ampel mit Kamera und Gesichtserkennung

Ryzen 5 1600X im Test: Der fast perfekte Desktop-Allrounder
Ryzen 5 1600X im Test
Der fast perfekte Desktop-Allrounder
  1. UEFI-Update Agesa 1004a lässt Ryzen-Boards schneller booten
  2. RAM-Overclocking getestet Ryzen profitiert von DDR4-3200 und Dual Rank
  3. Ryzen 5 1500X im Test AMD macht Intels Vierkernern mächtig Konkurrenz

  1. Zwiegespalten: Zerstörung = Fortschritt?

    LewxX | 07:53

  2. Re: Caspar untersagte Facebook...

    win.ini | 07:51

  3. Re: Ein Gesetz muss her...

    hyperlord | 07:51

  4. Sonst ändert sich einfach nichts

    Mixermachine | 07:46

  5. Re: Das geht zu weit!

    NaruHina | 07:45


  1. 08:04

  2. 07:55

  3. 07:37

  4. 07:28

  5. 07:00

  6. 19:00

  7. 18:44

  8. 18:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel