Abo
  • Services:

Linux-Distributionen: Unerwartete Schwierigkeiten beim Ausmustern alter Crypto

Unsichere und veraltete Verschlüsselungen aus einer Linux-Distribution zu entfernen, sei wesentlich schwieriger als gedacht, berichtet ein Intel-Entwickler. Sein Team will die Probleme mit OpenSSL und anderer Software aber beheben.

Artikel veröffentlicht am ,
Alte Crypto in OpenSSL auszumustern wird schwierig.
Alte Crypto in OpenSSL auszumustern wird schwierig. (Bild: Openssl.org)

Die Aufgabe sei eigentlich klar, schreibt der bei Intel angestellte Linux-Entwickler Arjan van de Ven: eine alte Crypto aus einer Linux-Distribution zu entfernen. Doch diese vermeintlich einfache Angelegenheit halte unerwartete Herausforderungen bereit, die nur mit viel Zeitaufwand bewältigt werden könnten.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Es gebe zwar Kompiliereinstellungen für OpenSSL, die das Entfernen von RC4, DES oder MD5 ermöglichten, nur bauen lässt sich die Software ohne DES und MD5 offenbar nicht. RC4 zu entfernen sei kein Problem, die Arbeiten an MD5 könnten verschoben werden, weshalb van de Ven zumindest die Fehler beim Kompilieren ohne DES selbst behoben hat.

Das tatsächliche Problem ergab sich allerdings dann bei dem Versuch, das von ihm gebaute Paket in die intern gepflegte Linux-Distribution zu integrieren. Dabei seien viele verschiedene und vor allem wichtige Pakete in ihrer Funktion beschädigt worden. Das betreffe meist Anwendungen, die HTTP-Verbindungen nutzen, wie Curl, OpenSSH, MariaDB oder andere.

Sämtliche der betroffenen Programme wiesen starre Abhängigkeiten zu DES auf, heißt es. DES sei jedoch schon vor 20 Jahren nicht mehr sicher gewesen. Van de Ven vermutet sogar, dass es möglich ist, eine Brute-Force-Attacke auf DES mit einer aktuellen Smartwatch in Echtzeit durchzuführen.

Als Konsequenz aus dieser Erfahrung will der Entwickler mit seinem Team nun Patches für unterschiedliche Anwendungen erstellen, damit diese ohne DES und RC4 auskommen. Außerdem fordert er jeden Beteiligten eines Open-Source-Projektes dazu auf, bestimmte Algorithmen nicht vorauszusetzen und seine Software entsprechend anzupassen.



Anzeige
Top-Angebote
  1. 579€
  2. (u. a. Sony PS4-Controller + Fallout 76 für 55€)
  3. (u. a. 3 Blu-rays für 15€, Nacon PS4-Controller + Fallout 76 für 44,99€ bei Marktabholung...
  4. (u. a. ASUS ROG Strix RTX 2070 OC für 579€, Razer Ornata Chroma für 69€ und viele weitere...

Taiga Wutts 29. Mär 2015

Da spricht mir jemand aus der Seele. Es ist alles andere als trivial, sich von...

Atalanttore 25. Mär 2015

LibreSSL hat zahlreiche Probleme längst gelöst.

Milber 25. Mär 2015

Ehrliche Worte in einem Forum für Möchtegerns. Danke.


Folgen Sie uns
       


Padrone-Maus-Ring angesehen (CES 2019)

Der Ring von Padrone soll die Maus überflüssig machen - wir haben ihn uns auf der CES 2019 angesehen.

Padrone-Maus-Ring angesehen (CES 2019) Video aufrufen
Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  2. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant
  3. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show

Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

    •  /