Abo
  • IT-Karriere:

Fork: LibreSSL hat Zufallsprobleme unter Linux

Unter bestimmten Umständen lieferte LibreSSL unter Linux dieselben Zufallszahlen mehrfach. Das Problem wurde in einem neuen Release behoben, die OpenBSD-Entwickler sehen aber das eigentliche Problem beim Linux-Kernel.

Artikel veröffentlicht am , Hanno Böck
Zufallszahlen, die sich wiederholen - ein katastrophaler Fehler
Zufallszahlen, die sich wiederholen - ein katastrophaler Fehler (Bild: Screenshot Hanno Böck)

Der OpenSSL-Fork LibreSSL hat wenige Tage nach seiner Veröffentlichung die erste größere Sicherheitslücke zu vermelden. Der Zufallszahlengenerator liefert unter bestimmten Umständen mehrmals dieselben Werte. Das Problem tritt im Zusammenhang mit der Funktion fork() auf und wurde von Andrew Ayer entdeckt. LibreSSL hat nun die Version 2.0.2 veröffentlicht, die einen Workaround für das Problem enthält. Doch die OpenBSD-Entwickler machen deutlich, dass sie das eigentliche Problem im Linux-Kernel sehen.

Stellenmarkt
  1. Enerthing GmbH, Leverkusen
  2. MVV Umwelt Asset GmbH, Mannheim

Die Funktion fork() erstellt eine nahezu identische Kopie des aktuellen Prozesses. Auch der interne Status des Zufallszahlengenerators wird so dupliziert. LibreSSL versucht, den Aufruf von fork() anhand der Prozess-ID (PID) zu erkennen und initialisiert im Fall einer neuen PID den Zufallszahlengenerator erneut. Das Problem dabei: Die Prozess-IDs unter Linux sind lediglich 16 Bit lang und werden zufällig vergeben. Manchmal kann es daher vorkommen, dass ein Unterprozess dieselbe PID erhält. Zwei Aufrufe des Zufallszahlengenerators können daher in unterschiedlichen Prozessen dasselbe Ergebnis produzieren. Die korrekte Funktion des Zufallszahlengenerators ist für kryptographische Software essenziell. Wiederholte Zufallswerte können bei manchen Algorithmen - etwa bei DSA und ECDSA - sogar dazu führen, dass sich der private Schlüssel trivial berechnen lässt.

OpenSSL enthielt eine ganze Reihe von Funktionen und Workarounds, die sichere Zufallszahlen garantieren sollten. Dabei wird teilweise auf äußerst obskure Lösungen zurückgegriffen, so unterstützt OpenSSL beispielsweise die Einbindung eines Tools namens Entropy Gathering Daemon - ein Perl-Skript, das unter Systemen ohne zuverlässige Zufallszahlen mögliche Entropiequellen aus dem System anzapft.

Die Entwickler von LibreSSL halten die meisten dieser Ansätze für verfehlt und vertreten die Haltung, dass es Aufgabe des Betriebssystems sei, einen sicheren Zufallszahlengenerator bereitzustellen. Doch genau hier liegt das Problem: Während unter OpenBSD eine Kernel-Funktion zum Zugriff auf den Zufallszahlengenerator existiert, kommt Linux ohne eine solche aus. Hier existiert lediglich die virtuelle Datei /dev/urandom, auf die man mittels Dateioperationen zugreifen kann. Die Frage, ob der direkte Zugriff auf /dev/urandom eine mögliche Alternative darstellt, wird bereits mit zahlreichen Pro- und Contra-Argumenten auf Hacker News diskutiert. Ein Problem könnte sein, dass in bestimmten Umgebungen das dev-Dateisystem nicht zur Verfügung steht oder dass ein Dateisystemzugriff aufgrund einer Systemüberlastung fehlschlägt.

OpenBSD-Entwickler Miod Vallat kommentiert sarkastisch auf Twitter, Leute, die sich über LibreSSLs Zufallszahlengenerator beschwerten, sollten lieber ihr Betriebssystem reparieren und eine vernünftige Zufallszahlenfunktion einbauen. Trotz des rauen Tons zwischen Linux- und OpenBSD-Entwicklern schreibt Linux-Entwickler Theodore Ts'o in einer Diskussion auf einer Mailingliste der Internet Engineering Task Force (IETF), dass er sich die Implementierung eines Syscalls für den Zufallszahlengenerator durchaus vorstellen könnte. Er sei allerdings nicht sicher, ob es dafür unter den Kernel-Entwicklern einen Konsens gebe.

Die Version 2.0.2 von LibreSSL hat nun zunächst einen Workaround für das Problem eingebaut. Mittels eines Callbacks, der beim Aufruf der fork()-Funktion aufgerufen wird, wird der Zufallszahlengenerator neu initialisiert. Andrew Ayer, der das Problem ursprünglich entdeckt hat, sieht darin zwar eine Verbesserung, ganz glücklich ist er mit der Lösung jedoch nicht. Denn ein Programm, das den Fork nicht über die entsprechende libc-Funktion auslöst, sondern stattdessen direkt den Kernel-Systemaufruf clone nutzt, wäre weiterhin von dem Problem betroffen. Trotz dieser verbleibenden Probleme ist natürlich allen LibreSSL-Nutzern unter Linux zu empfehlen, ein Update auf Version 2.0.2 durchzuführen.



Anzeige
Hardware-Angebote
  1. 199,90€

Sarowie 17. Jul 2014

Welche Ironie, dass Mac OS X und iOS sich die unixoide Basis teilen.

pythoneer 17. Jul 2014

Dann ist es leider Unwissen, wenn es ernst ist. Das musst du mir mal erklären, warum...

__destruct() 17. Jul 2014

Hab gedacht, es sei genauso. Den Artikel damals hab ich gelesen, bei diesem hier hab ich...

Rabbit 17. Jul 2014

Nur um es nochmal klarstellen: der RNG wird NICHT mit der PID geseedet. LibreSSL...

Rabbit 17. Jul 2014

Fast jeder Chipsatz hat mitterlweile ein TPM, welches u.a. auch RNG liefert in Hardware...


Folgen Sie uns
       


Wasserstoff-Mercedes GLC F-Cell im Test

Der Mercedes GLC F-Cell ist eines der wenigen Serienfahrzeuge mit Brennstoffzellenantrieb. Wir haben das Auto getestet.

Wasserstoff-Mercedes GLC F-Cell im Test Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Mercedes EQV Daimler zeigt elektrische Großraumlimousine
  2. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  3. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf

    •  /