Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Heartbleed Bug - Details!?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3488

PostPosted: Tue Apr 08, 2014 9:39 am    Post subject: Heartbleed Bug - Details!? Reply with quote

Habe gerade bei Heise gelesen ... http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html ... und irgendwie macht mich das doch leicht nervös da SSL auf (m)einem vernünftig gesichertem Server doch häufig Anwendung findet.

Kann jemand etwas mehr dazu sagen? Inwiefern tangiert das Gentoo?
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1082
Location: Buchholz/GER

PostPosted: Tue Apr 08, 2014 11:02 am    Post subject: Reply with quote

Auf meinem Gentoo-Server ist das Update auf openssl-1.0.1g ordnungsgemäß durchgelaufen. Die betroffenen Dienste habe ich neu gestartet. In wieweit ich die Zertifikate und Schlüssel noch tauschen muss, muss ich nochmal genauer nachlesen.
_________________
- born to create drama -
cryptosteve - gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
Josef.95
Advocate
Advocate


Joined: 03 Sep 2007
Posts: 2303
Location: Germany

PostPosted: Tue Apr 08, 2014 2:11 pm    Post subject: Reply with quote

Quote:
Inwiefern tangiert das Gentoo?

Ein wenig Info dazu gibt es im [ GLSA 201404-07 ] OpenSSL: Information Disclosure
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3488

PostPosted: Tue Apr 08, 2014 2:27 pm    Post subject: Reply with quote

Das war erst noch nicht raus ;)
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1062
Location: Schweiz

PostPosted: Wed Apr 09, 2014 12:48 pm    Post subject: Reply with quote

Quote:
As private keys may have been compromised using the Heartbleed attack, it is recommended to regenerate them.

Wenn ich diesen Satz richtig verstanden habe wird einem hier empfohlen den privaten Schlüssel der selbst erstellten Zertifikate auszutauschen. Nur wie man das macht steht da nicht und in meinem "app-crypt/xca" lässt sich dazu auch nichts finden.

Was jetzt? OpenSSL ist auf der Konsole alles andere als benutzerfreundlich.
_________________
Mich braucht jeder. Zumindest behaupten viele, ich hätte gerade noch gefehlt. ;)
GPG: 0x54A19454 - Download | (0x5E2B12A0 ist veraltet)
Back to top
View user's profile Send private message
arfe
Apprentice
Apprentice


Joined: 24 Aug 2005
Posts: 174
Location: Essen

PostPosted: Wed Apr 09, 2014 2:03 pm    Post subject: Reply with quote

Was wohl? Einfach eine neue keyphrase eingeben.
Und wozu brauchst Du bei openssl eine GUI? Vielleicht verwendest Du einfach nur das falsche OS!
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1521
Location: St. Wendel

PostPosted: Wed Apr 09, 2014 2:11 pm    Post subject: Reply with quote

Nein, nur eine neue keyphrase hilft _nicht_, den der Key liegt ungeschützt im Speicher des Servers, er muss ihn ja schließlich verwenden.

Es müssen neue Schlüssel, neue Zertifikate erzeugt und die alten Zertifikate Widerrufen werden, ansonsten ist es Sinn frei.

Bye
Py

@Arfe Könntest Du dir bitte die dummen Kommentare verkneifen?
Back to top
View user's profile Send private message
arfe
Apprentice
Apprentice


Joined: 24 Aug 2005
Posts: 174
Location: Essen

PostPosted: Wed Apr 09, 2014 2:21 pm    Post subject: Reply with quote

py-ro wrote:
@Arfe Könntest Du dir bitte die dummen Kommentare verkneifen?


Du kennst schmidicom noch nicht. :D
Er möchte bei Gentoo die Funktionalität eines Windows 7 Desktops. :D
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1521
Location: St. Wendel

PostPosted: Wed Apr 09, 2014 2:24 pm    Post subject: Reply with quote

Ja, und? Ist trotzdem kein Grund. Aber das wird hier jetzt zu OT.
Back to top
View user's profile Send private message
Finswimmer
Moderator
Moderator


Joined: 02 Sep 2004
Posts: 5407
Location: Langen (Hessen), Germany

PostPosted: Wed Apr 09, 2014 2:32 pm    Post subject: Reply with quote

@Arfe: Bitte unterlasse solche Kommentare. Auf eine normale Frage sollte auch normal geantwortet haben.
Falls Dir die Art von schmidicom nicht gefällt, dann antworte nicht...
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1062
Location: Schweiz

PostPosted: Wed Apr 09, 2014 2:47 pm    Post subject: Reply with quote

py-ro wrote:
Nein, nur eine neue keyphrase hilft _nicht_, den der Key liegt ungeschützt im Speicher des Servers, er muss ihn ja schließlich verwenden.

Es müssen neue Schlüssel, neue Zertifikate erzeugt und die alten Zertifikate Widerrufen werden, ansonsten ist es Sinn frei.

Sowas habe ich schon befürchtet aber wenigstens hält sich der Aufwand dafür bei mir noch in grenzen, nur wie machen das eigentlich die großen CA's?
_________________
Mich braucht jeder. Zumindest behaupten viele, ich hätte gerade noch gefehlt. ;)
GPG: 0x54A19454 - Download | (0x5E2B12A0 ist veraltet)
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1521
Location: St. Wendel

PostPosted: Wed Apr 09, 2014 2:57 pm    Post subject: Reply with quote

Die CAs? Die bekommen nur CSR und zeichnen die ab.

Ansonsten reine fleiß Arbeit.
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1062
Location: Schweiz

PostPosted: Thu Apr 10, 2014 5:57 am    Post subject: Reply with quote

py-ro wrote:
Die CAs? Die bekommen nur CSR und zeichnen die ab.

Ansonsten reine fleiß Arbeit.

Mit CA's meinte ich solche Zertifizierungsstellen wie Beispielweise VeriSign und was die machen wenn deren Schlüssel zum RootCA (ob nun durch einen Softwarebug oder einfachen Diebstahl) kompromittiert ist.

Inzwischen ist auf Heise noch ein Artikel mit etwas mehr Informationen zu diesem Thema online gegangen. Also nach dem was ich dort lese ist der Schlüssel zum Zertifikat technisch gesehen in Ordnung, nur besteht durch die Lücke einfach die Möglichkeit das er gestohlen worden sein könnte. Aber da meine RootCA nicht auf einem vom Internet aus erreichbaren Server liegt müsste diese ja eigentlich sicher sein, oder?
_________________
Mich braucht jeder. Zumindest behaupten viele, ich hätte gerade noch gefehlt. ;)
GPG: 0x54A19454 - Download | (0x5E2B12A0 ist veraltet)
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1521
Location: St. Wendel

PostPosted: Thu Apr 10, 2014 8:00 am    Post subject: Reply with quote

Die CA Keys sind für gewöhnlich nicht auf erreichbaren Systemen gespeichert und für normale Anwendungen auch nicht nötig. Man könnte theoretisch das Root Zertifikat mit Key nutzen, aber das wäre absolut unüblich und dämlich.
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3488

PostPosted: Thu Apr 10, 2014 3:18 pm    Post subject: Reply with quote

Aktuell gibt es Anzeichen für ein Ausnutzen bereits seit Nov. '13. (http://www.golem.de/news/openssl-bug-spuren-von-heartbleed-schon-im-november-2013-1404-105782.html ). Logwütige Admins sind hier aufgerufen alte Logs zu durchforsten.
Back to top
View user's profile Send private message
ChrisJumper
Veteran
Veteran


Joined: 12 Mar 2005
Posts: 1829
Location: Germany

PostPosted: Thu Apr 10, 2014 6:48 pm    Post subject: Reply with quote

Fefe hat dazu einen Artikel bei der FAZ geschrieben.

Bisher ging ich der Vermutung nach das man bei openssl auch auf der Sicheren Seite war wenn das Useflag tls-heartbeat nicht gesetzt wurde. Aber ja besser ist es neue Schlüssel zu generieren.
Back to top
View user's profile Send private message
forrestfunk81
Guru
Guru


Joined: 07 Feb 2006
Posts: 418
Location: münchen.de

PostPosted: Sat Apr 12, 2014 9:38 am    Post subject: Reply with quote

py-ro wrote:
Die CA Keys sind für gewöhnlich nicht auf erreichbaren Systemen gespeichert und für normale Anwendungen auch nicht nötig. Man könnte theoretisch das Root Zertifikat mit Key nutzen, aber das wäre absolut unüblich und dämlich.

Ich benutze keine CA Keys sondern self-signed Zertifikate. Wie ist das damit? Laut einem Artikel aus dem alten Gentoo Wiki (leider nicht mehr online) sollte man die Keys folgendermaßen erstellen:
Code:
openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout server.key -out server.crt

Das ergibt dann den privaten Key server.key und das zugehörige Zertifikat server.crt. Für Apache sind die so angegeben:
Code:

# grep SSLCertificate /etc/apache2/vhosts.d/00_default_ssl_vhost.conf
        SSLCertificateFile /etc/ssl/apache2/server.crt
        SSLCertificateKeyFile /etc/ssl/apache2/server.key

So wie ich das verstanden habe, besteht die Möglichkeit, dass mein privater Key (server.key) ausgelesen wurde. Deshalb habe ich beides mal ausgetauscht und hoffe, damit auf der sicheren Seite zu sein.
_________________
# cd /pub/
# more beer
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1082
Location: Buchholz/GER

PostPosted: Sat Apr 12, 2014 7:07 pm    Post subject: Reply with quote

ChrisJumper wrote:
Bisher ging ich der Vermutung nach das man bei openssl auch auf der Sicheren Seite war wenn das Useflag tls-heartbeat nicht gesetzt wurde. Aber ja besser ist es neue Schlüssel zu generieren.

Nach meinem Verständnis ist ein System mit nicht gesetztem tls-heartbeat in dieser Hinsicht nicht anfällig. Demnach besteht hier auch keine Notwendigkeit, die Schlüssel neu zu erstellen. Voraussetzung ist allerdings, dass die Keys und Zertifikate auch wirklich nur auf diesem System genutzt werden bzw. wurden.
_________________
- born to create drama -
cryptosteve - gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum