4. Zufallszahlen aus dem .NET Framework

Zufallszahlen aus dem .NET Framework

  • ?

    Hallo,

    da tat sich vor einigen Monaten eine Schwachstelle in der OpenSSL Bibliothek, genauer im Zufallszahlengenerator, auf welcher das Erstellen von vorhersagbaren Zertifikaten ermoeglicht, was aus Sicht der Sicherheit eine Katastrophe ist.

    Einen älterer Artikel der Telepolis mit dem Titel "Unheimliche Allianz" (http://www.heise.de/tp/r4/artikel/27/27258/1.html), in der Microsoft mit dem spanischen Geheimdienst zusammenarbeitet und Quellcode offen legt, las ich mir gerade durch, und da fiel mir nebenbei ein, daß das .NET Framework von Microsoft bzw. die Kryptographie-Klassen und damit einhergehenden Klassen zur Zufallszahlenerzeugung doch eine bisher nicht bekannt gewordene Schwachstelle eingebaut haben könnten.

    Es gibt Empfehlungen, die vorhandenen Kryptographie-Frameworks des Betriebssystems zu benutzen anstatt eigene zu erfinden. Und da stelle ich mir nun vor, dass ich aufgrund dieser Empfehlung das .NET Framework benutze und automatisch damit meine Anwendung 'knackbar' mache, eben durch diese mögliche eingebaute Schwachstelle wie oben beschrieben.

    Da Kryptographie nach Rijndael, RC4 usw. usf. nicht absichtlich Schwachstellen haben können und plattformübergreifend sind, ist die einzige Unsicherheit der Zufallszahlengenerator - wie bei OpenSSL. Mit anderen Worten entwickle ich und verschlüsselele ich mit dem besten was das .NET Framework zu bieten hat, und trotzdem ist die Schwachstelle ungewollt gleich miteingebaut.

    Um Eure Gedanken dazu möchte ich Euch bitten, was meint ihr?

    0
  • ?

    Hoppelmoppel schrieb:

    Hallo,

    da tat sich vor einigen Monaten eine Schwachstelle in der OpenSSL Bibliothek, genauer im Zufallszahlengenerator, auf welcher das Erstellen von vorhersagbaren Zertifikaten ermoeglicht, was aus Sicht der Sicherheit eine Katastrophe ist.

    Genaugenommen war nciht der Zufallszahlengenerator das Problem, sondern die OpenSSL Implementierung in Debian. Aufgrund eines Fehlers wurde der Generator immer mit gleichen Werten seeded, was die entstehenden Keys ein wenig vorhersehbar machte.

    0
  • K

    loks schrieb:

    Hoppelmoppel schrieb:

    Hallo,

    da tat sich vor einigen Monaten eine Schwachstelle in der OpenSSL Bibliothek, genauer im Zufallszahlengenerator, auf welcher das Erstellen von vorhersagbaren Zertifikaten ermoeglicht, was aus Sicht der Sicherheit eine Katastrophe ist.

    Genaugenommen […]

    Genaugenommen wurde nicht immer dieselbe Initialisierung vorgenommen sondern nur die Entropie verringert, weil der Speicher null-initialisiert wurde anstatt in seinem uninitialisierten Zustand zu verbleiben. 😉

    Hoppelmoppel schrieb:

    Um Eure Gedanken dazu möchte ich Euch bitten, was meint ihr?

    Dass man da als Windows-Entwickler leider Pech hat. Für *wirklich* wichtige Sachen kann man die MS-Krypto-API eigentlich nicht verwenden, da muss man auf eine etablierte OpenSource-Lösung zurückgreifen.

    0
Anmelden zum Antworten