Abo
  • Services:
Anzeige
Alte Crypto in OpenSSL auszumustern wird schwierig.
Alte Crypto in OpenSSL auszumustern wird schwierig. (Bild: Openssl.org)

Linux-Distributionen: Unerwartete Schwierigkeiten beim Ausmustern alter Crypto

Alte Crypto in OpenSSL auszumustern wird schwierig.
Alte Crypto in OpenSSL auszumustern wird schwierig. (Bild: Openssl.org)

Unsichere und veraltete Verschlüsselungen aus einer Linux-Distribution zu entfernen, sei wesentlich schwieriger als gedacht, berichtet ein Intel-Entwickler. Sein Team will die Probleme mit OpenSSL und anderer Software aber beheben.

Anzeige

Die Aufgabe sei eigentlich klar, schreibt der bei Intel angestellte Linux-Entwickler Arjan van de Ven: eine alte Crypto aus einer Linux-Distribution zu entfernen. Doch diese vermeintlich einfache Angelegenheit halte unerwartete Herausforderungen bereit, die nur mit viel Zeitaufwand bewältigt werden könnten.

Es gebe zwar Kompiliereinstellungen für OpenSSL, die das Entfernen von RC4, DES oder MD5 ermöglichten, nur bauen lässt sich die Software ohne DES und MD5 offenbar nicht. RC4 zu entfernen sei kein Problem, die Arbeiten an MD5 könnten verschoben werden, weshalb van de Ven zumindest die Fehler beim Kompilieren ohne DES selbst behoben hat.

Das tatsächliche Problem ergab sich allerdings dann bei dem Versuch, das von ihm gebaute Paket in die intern gepflegte Linux-Distribution zu integrieren. Dabei seien viele verschiedene und vor allem wichtige Pakete in ihrer Funktion beschädigt worden. Das betreffe meist Anwendungen, die HTTP-Verbindungen nutzen, wie Curl, OpenSSH, MariaDB oder andere.

Sämtliche der betroffenen Programme wiesen starre Abhängigkeiten zu DES auf, heißt es. DES sei jedoch schon vor 20 Jahren nicht mehr sicher gewesen. Van de Ven vermutet sogar, dass es möglich ist, eine Brute-Force-Attacke auf DES mit einer aktuellen Smartwatch in Echtzeit durchzuführen.

Als Konsequenz aus dieser Erfahrung will der Entwickler mit seinem Team nun Patches für unterschiedliche Anwendungen erstellen, damit diese ohne DES und RC4 auskommen. Außerdem fordert er jeden Beteiligten eines Open-Source-Projektes dazu auf, bestimmte Algorithmen nicht vorauszusetzen und seine Software entsprechend anzupassen.


eye home zur Startseite
Taiga Wutts 29. Mär 2015

Da spricht mir jemand aus der Seele. Es ist alles andere als trivial, sich von...

Atalanttore 25. Mär 2015

LibreSSL hat zahlreiche Probleme längst gelöst.

Milber 25. Mär 2015

Ehrliche Worte in einem Forum für Möchtegerns. Danke.



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Robert Bosch GmbH, Abstatt
  3. MeinAuto GmbH, Köln
  4. Robert Bosch GmbH, Schwieberdingen


Anzeige
Blu-ray-Angebote
  1. (u. a. Spaceballs, Training Day, Der längste Tag)
  2. (u. a. Hawaii Five-0, Call the Midwife, Blue Bloods)
  3. (u. a. Unter dem Sand, The Neon Demon, Union Pacific)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Souq.com

    Amazon gibt 750 Millionen Dollar für Übernahme aus

  2. Let's Play

    Facebook ermöglicht Livevideos vom PC

  3. Ryzen-CPU

    Ach AMD!

  4. Sensor

    Mit dem Kopfpflaster Gefühle lesen

  5. Übernahme

    Apple kauft iOS-Automatisierungs-Tool Workflow

  6. Linux-Desktop

    Gnome 3.24 erscheint mit Nachtmodus

  7. Freenet TV

    DVB-T2-Stick für Windows und MacOS ist da

  8. Instandsetzung

    Apple macht iPhone-Reparaturen teurer

  9. Energielabels

    Aus A+++ wird nur noch A

  10. Update 1.2

    Gog.com-Client erhält Cloud-Speicheroption und fps-Zähler



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer
  2. Apple Park Apple bezieht das Raumschiff
  3. Klage gegen Steuernachzahlung Apple beruft sich auf europäische Grundrechte

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Facebook & Co Bis zu 50 Millionen Euro Geldbuße für Hasskommentare
  2. OCP Facebook rüstet das Rechenzentrum auf
  3. Social Media Facebook verbietet Datennutzung für Überwachung

  1. Re: Und keiner sieht die Marktchancen

    Kein Kostverächter | 11:12

  2. Re: Bei meiner letzten CeBIT

    mainframe | 11:12

  3. Re: Denkfehler

    Kein Kostverächter | 11:10

  4. Re: Ja und?

    Berner Rösti | 11:10

  5. Re: Oh nein!

    mainframe | 11:08


  1. 10:35

  2. 10:06

  3. 09:04

  4. 08:33

  5. 08:13

  6. 07:42

  7. 07:27

  8. 07:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel