Re: Schwache SSH-Keys und authorized_keys

[Christian Weisgerber <naddy@xxxxxxxxxxxx>]

Christian Weisgerber <naddy@xxxxxxxxxxxx> wrote:

> - Wie ist es um den Diffie-Hellman-Austausch zwischen zwei betroffenen
>   Systemen bestellt?

Ganz schlecht.

(Jemand, der etwas von der Materie versteht, moege mich korrigieren,
falls die folgenden Ueberlegungen Unsinn sind.)

Der Diffie-Hellman-Austausch funktioniert so:

0. (Wir haben als oeffentliche bekannte Parameter eine Primzahl p und eine
   Primitivwurzel g, die eine Restklassengruppe G definieren, in der die
   folgenden Berechnungen stattfinden.)
1. Alice denkt sich eine Geheimzahl a aus und schickt (g^a) an Bob.
2. Bob denkt sich eine Geheimzahl b aus und schickt (g^b) an Alice.
3. Alice berechnet (g^b)^a = g^(b*a) = g^(a*b).
4. Bob berechnet (g^a)^b = g^(a*b).

Alice und Bob kennen nun beide die gemeinsame Geheimzahl g^(a*b),
die als Schluessel fuer die weitere Kommuniktation dienen kann. Der
Knackpunkt ist, das g^a und g^b offen uebertragen werden, weil es
fuer einen Lauscher sehr schwer ist, daraus g^(a*b) zu ermitteln
("Diffie-Hellman-Problem").

Wenn nun Alice einen schwachen Zufallszahlengenerator zur Erzeugung
von a verwendet, dann kann ein Lauscher alle moeglichen Werte von
g^a vorausberechnen, mit dem uebertragenen Wert vergleichen, daraus
auf a zurueckschliessen, kann wie Alice (g^b)^a = g^(a*b) berechnen,
und kennt damit den zwischen Alice und Bob ausgehandelten geheimen
Schluessel.

Soll heissen, alle auf einem DH-Austausch basierenden Verbindungen
(SSH, SSL/TLS, IKE, usw.) sind mitlesbar, wenn _eine_ Seite einen
vorhersagbaren Zufallszahlengenerator verwendet hat.


[Dank an Thomas Hochstein fuer sachdienliche Hinweise.]
-- 
Christian "naddy" Weisgerber                          naddy@xxxxxxxxxxxx
-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/