更多弱键?可以下载32768个弱密钥进行分析,但还有更多吗?是原来的三倍?
有很多关于DSA-1571-1 openssl - 可预测随机数生成器的信息。甚至有几个网站可以下载弱 DSA 密钥或列入黑名单的密钥指纹哈希。
易受攻击的 Debian OpenSSL 包中的可预测 PRNG演示文稿- The What And The How表示 PRNG 不仅取决于当前进程 ID,还取决于主机架构和“内部状态”。稍后在演示文稿中,提到了“(2^15 − 1) × 3 个键”。32768 (2^15) 个密钥是我找到的最多的 DSA 密钥。(参见https://hdm.io/tools/debian-openssl/debian_ssh_dsa_1024_x86.tar.bz2)
由于此 PRNG 问题,是否还有其他弱 DSA 密钥?如果是这样,它们是由于主机架构和“内部状态”造成的吗?这些其他键是什么?它们可以从已知的 32768 集合中生成吗?
如果是这样,它们是否是由于主机架构...
对。
从谈话中:“乘以三,因为字节序和位之间存在三种组合”。
来自Debian wiki (在此处存档):(由我重新格式化的文本)
OpenSSL 的损坏版本仅由进程 ID 播种。
由于字节序和 之间的差异
sizeof(long),输出是特定于架构的:
- 小端 32 位(例如
i386),- 小端 64 位(例如
amd64,ia64),- 大端 32 位(例如
powerpc,sparc)。
PID 0是内核,并且PID_MAX在包装时未达到 (32768),因此每个架构有 32767 个可能的随机数流。这是 (2^15-1)*3 或 98301。
.
它们可以从已知的 32768 集合中生成吗?
不知道。不要这么想。Debian 有他们的软件包:(我重新格式化的文本)
黑名单的范围
当前的官方黑名单(在 中
openssh-blacklist)涵盖了RSA-2048和系统上生成的DSA-1024密钥。这足以涵盖使用默认密钥长度的用户,但如果您的某些用户决定他们想要更长的密钥长度,则不能。32-bit little-endian64-bit little-endian32-bit big-endian对于非默认键,请查看所有三种架构的
openssh-blacklist-extra哪个包含RSA-1024、RSA-4096和(一个空的)DSA-2048。