Abo
  • IT-Karriere:

Fork: LibreSSL hat Zufallsprobleme unter Linux

Unter bestimmten Umständen lieferte LibreSSL unter Linux dieselben Zufallszahlen mehrfach. Das Problem wurde in einem neuen Release behoben, die OpenBSD-Entwickler sehen aber das eigentliche Problem beim Linux-Kernel.

Artikel veröffentlicht am , Hanno Böck
Zufallszahlen, die sich wiederholen - ein katastrophaler Fehler
Zufallszahlen, die sich wiederholen - ein katastrophaler Fehler (Bild: Screenshot Hanno Böck)

Der OpenSSL-Fork LibreSSL hat wenige Tage nach seiner Veröffentlichung die erste größere Sicherheitslücke zu vermelden. Der Zufallszahlengenerator liefert unter bestimmten Umständen mehrmals dieselben Werte. Das Problem tritt im Zusammenhang mit der Funktion fork() auf und wurde von Andrew Ayer entdeckt. LibreSSL hat nun die Version 2.0.2 veröffentlicht, die einen Workaround für das Problem enthält. Doch die OpenBSD-Entwickler machen deutlich, dass sie das eigentliche Problem im Linux-Kernel sehen.

Stellenmarkt
  1. Conduent, Poole (England)
  2. LexCom Informationssysteme GmbH, München

Die Funktion fork() erstellt eine nahezu identische Kopie des aktuellen Prozesses. Auch der interne Status des Zufallszahlengenerators wird so dupliziert. LibreSSL versucht, den Aufruf von fork() anhand der Prozess-ID (PID) zu erkennen und initialisiert im Fall einer neuen PID den Zufallszahlengenerator erneut. Das Problem dabei: Die Prozess-IDs unter Linux sind lediglich 16 Bit lang und werden zufällig vergeben. Manchmal kann es daher vorkommen, dass ein Unterprozess dieselbe PID erhält. Zwei Aufrufe des Zufallszahlengenerators können daher in unterschiedlichen Prozessen dasselbe Ergebnis produzieren. Die korrekte Funktion des Zufallszahlengenerators ist für kryptographische Software essenziell. Wiederholte Zufallswerte können bei manchen Algorithmen - etwa bei DSA und ECDSA - sogar dazu führen, dass sich der private Schlüssel trivial berechnen lässt.

OpenSSL enthielt eine ganze Reihe von Funktionen und Workarounds, die sichere Zufallszahlen garantieren sollten. Dabei wird teilweise auf äußerst obskure Lösungen zurückgegriffen, so unterstützt OpenSSL beispielsweise die Einbindung eines Tools namens Entropy Gathering Daemon - ein Perl-Skript, das unter Systemen ohne zuverlässige Zufallszahlen mögliche Entropiequellen aus dem System anzapft.

Die Entwickler von LibreSSL halten die meisten dieser Ansätze für verfehlt und vertreten die Haltung, dass es Aufgabe des Betriebssystems sei, einen sicheren Zufallszahlengenerator bereitzustellen. Doch genau hier liegt das Problem: Während unter OpenBSD eine Kernel-Funktion zum Zugriff auf den Zufallszahlengenerator existiert, kommt Linux ohne eine solche aus. Hier existiert lediglich die virtuelle Datei /dev/urandom, auf die man mittels Dateioperationen zugreifen kann. Die Frage, ob der direkte Zugriff auf /dev/urandom eine mögliche Alternative darstellt, wird bereits mit zahlreichen Pro- und Contra-Argumenten auf Hacker News diskutiert. Ein Problem könnte sein, dass in bestimmten Umgebungen das dev-Dateisystem nicht zur Verfügung steht oder dass ein Dateisystemzugriff aufgrund einer Systemüberlastung fehlschlägt.

OpenBSD-Entwickler Miod Vallat kommentiert sarkastisch auf Twitter, Leute, die sich über LibreSSLs Zufallszahlengenerator beschwerten, sollten lieber ihr Betriebssystem reparieren und eine vernünftige Zufallszahlenfunktion einbauen. Trotz des rauen Tons zwischen Linux- und OpenBSD-Entwicklern schreibt Linux-Entwickler Theodore Ts'o in einer Diskussion auf einer Mailingliste der Internet Engineering Task Force (IETF), dass er sich die Implementierung eines Syscalls für den Zufallszahlengenerator durchaus vorstellen könnte. Er sei allerdings nicht sicher, ob es dafür unter den Kernel-Entwicklern einen Konsens gebe.

Die Version 2.0.2 von LibreSSL hat nun zunächst einen Workaround für das Problem eingebaut. Mittels eines Callbacks, der beim Aufruf der fork()-Funktion aufgerufen wird, wird der Zufallszahlengenerator neu initialisiert. Andrew Ayer, der das Problem ursprünglich entdeckt hat, sieht darin zwar eine Verbesserung, ganz glücklich ist er mit der Lösung jedoch nicht. Denn ein Programm, das den Fork nicht über die entsprechende libc-Funktion auslöst, sondern stattdessen direkt den Kernel-Systemaufruf clone nutzt, wäre weiterhin von dem Problem betroffen. Trotz dieser verbleibenden Probleme ist natürlich allen LibreSSL-Nutzern unter Linux zu empfehlen, ein Update auf Version 2.0.2 durchzuführen.



Anzeige
Top-Angebote
  1. (aktuell u. a. CPU-Kühler)
  2. mit Gutschein: NBBCORSAIRPSP19
  3. (heute u. a. Saugroboter)
  4. (u. a. Metal Gear Solid V: The Definitive Experience für 8,99€ und Train Simulator 2019 für 12...

Sarowie 17. Jul 2014

Welche Ironie, dass Mac OS X und iOS sich die unixoide Basis teilen.

pythoneer 17. Jul 2014

Dann ist es leider Unwissen, wenn es ernst ist. Das musst du mir mal erklären, warum...

__destruct() 17. Jul 2014

Hab gedacht, es sei genauso. Den Artikel damals hab ich gelesen, bei diesem hier hab ich...

Rabbit 17. Jul 2014

Nur um es nochmal klarstellen: der RNG wird NICHT mit der PID geseedet. LibreSSL...

Rabbit 17. Jul 2014

Fast jeder Chipsatz hat mitterlweile ein TPM, welches u.a. auch RNG liefert in Hardware...


Folgen Sie uns
       


Asus Prime Utopia angesehen

Asus zeigt auf der Computex 2019 eine Ideenstudie für ein neues High-End-Mainboard.

Asus Prime Utopia angesehen Video aufrufen
Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    •  /