Abo
  • IT-Karriere:

Linux-Distributionen: Unerwartete Schwierigkeiten beim Ausmustern alter Crypto

Unsichere und veraltete Verschlüsselungen aus einer Linux-Distribution zu entfernen, sei wesentlich schwieriger als gedacht, berichtet ein Intel-Entwickler. Sein Team will die Probleme mit OpenSSL und anderer Software aber beheben.

Artikel veröffentlicht am ,
Alte Crypto in OpenSSL auszumustern wird schwierig.
Alte Crypto in OpenSSL auszumustern wird schwierig. (Bild: Openssl.org)

Die Aufgabe sei eigentlich klar, schreibt der bei Intel angestellte Linux-Entwickler Arjan van de Ven: eine alte Crypto aus einer Linux-Distribution zu entfernen. Doch diese vermeintlich einfache Angelegenheit halte unerwartete Herausforderungen bereit, die nur mit viel Zeitaufwand bewältigt werden könnten.

Stellenmarkt
  1. Mercer Timber Products GmbH, Saalburg-Ebersdorf
  2. Darlehenskasse der Studierendenwerke e.V., Köln

Es gebe zwar Kompiliereinstellungen für OpenSSL, die das Entfernen von RC4, DES oder MD5 ermöglichten, nur bauen lässt sich die Software ohne DES und MD5 offenbar nicht. RC4 zu entfernen sei kein Problem, die Arbeiten an MD5 könnten verschoben werden, weshalb van de Ven zumindest die Fehler beim Kompilieren ohne DES selbst behoben hat.

Das tatsächliche Problem ergab sich allerdings dann bei dem Versuch, das von ihm gebaute Paket in die intern gepflegte Linux-Distribution zu integrieren. Dabei seien viele verschiedene und vor allem wichtige Pakete in ihrer Funktion beschädigt worden. Das betreffe meist Anwendungen, die HTTP-Verbindungen nutzen, wie Curl, OpenSSH, MariaDB oder andere.

Sämtliche der betroffenen Programme wiesen starre Abhängigkeiten zu DES auf, heißt es. DES sei jedoch schon vor 20 Jahren nicht mehr sicher gewesen. Van de Ven vermutet sogar, dass es möglich ist, eine Brute-Force-Attacke auf DES mit einer aktuellen Smartwatch in Echtzeit durchzuführen.

Als Konsequenz aus dieser Erfahrung will der Entwickler mit seinem Team nun Patches für unterschiedliche Anwendungen erstellen, damit diese ohne DES und RC4 auskommen. Außerdem fordert er jeden Beteiligten eines Open-Source-Projektes dazu auf, bestimmte Algorithmen nicht vorauszusetzen und seine Software entsprechend anzupassen.



Anzeige
Top-Angebote
  1. mit Gutschein: NBBCORSAIRPSP19
  2. (heute u. a. Saugroboter)
  3. 149€
  4. (u. a. Metal Gear Solid V: The Definitive Experience für 8,99€ und Train Simulator 2019 für 12...

Taiga Wutts 29. Mär 2015

Da spricht mir jemand aus der Seele. Es ist alles andere als trivial, sich von...

Atalanttore 25. Mär 2015

LibreSSL hat zahlreiche Probleme längst gelöst.

Milber 25. Mär 2015

Ehrliche Worte in einem Forum für Möchtegerns. Danke.


Folgen Sie uns
       


Akku-Recycling bei Duesenfeld

Das Unternehmen Duesenfeld aus Peine hat ein Verfahren für das Recycling von Elektroauto-Akkus entwickelt.

Akku-Recycling bei Duesenfeld Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
    Ada und Spark
    Mehr Sicherheit durch bessere Programmiersprachen

    Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
    Von Johannes Kanig

    1. Das andere How-to Deutsch lernen für Programmierer
    2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
    3. Software-Entwickler Welche Programmiersprache soll ich lernen?

    Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
    Nuki Smart Lock 2.0 im Test
    Tolles Aufsatzschloss hat Software-Schwächen

    Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
    Ein Test von Ingo Pakalski


        •  /