[Eisfair_dev] openvpn2 1.0.5 testing für eisfair1 released

Juergen Edner juergen at eisfair.org
Di Okt 24 09:27:32 CEST 2017


Hallo Olaf,

>> da es nicht so häufig vorkommt dass der verwendete Hash von MD5 auf
>> SHA1 umgestellt wird, sollten einfache Paketaktualisierungen keine
>> Schwierigkeiten bereiten. Zumindest treten diese auch nicht bei den
>> anderen Programmpaketen auf, die von dem OpenSSL-Programm Gebrauch
>> machen.
> 
> Das ist insoweit korrekt, weil die wenigsten auf Server/Remoteclient
> basieren. Wenn die Clients nicht irgendwo in er Welt unterwegs wären,
> wäre das vermutlich auch kein Problem. Ich finde auch krass, dass das
> von heute auf morgen einfach so umgestellt wird. Liegt aber vermutlich
> an openssl, da mit der 1.0.2f noch alles geht, mit der 1.0.2l jedoch
> nicht mehr. Kein Warnhinweis nach dem Motto "baue das demnächst mal um"
> oder so, nein, einfach "nö, zu schwach. Will nicht mehr". Ich habe da
> bei meiner Suche viele gefrustete Admins "gesehen". Zum Glück hatte ich
> noch einen Server, wo die alte openssl-version installiert war.

md5-Hashes waren bekanntermaßen bereits seit mehr als 10 Jahren
als *unsicher* klassifiziert und die Verwendung von sha1 war
empfohlen worden. Wenn Entwickler eine solche Vorlaufzeit
aus Bequemlichkeit ignorieren und dann ganz überrascht tun,
wenn eine Sicherheitslücke eine schnelle Abschaltung von md5
erfordert, dann kann man nicht wirklich von einer fehlenden
Vorankündigung sprechen ;-)

Siehe auch https://de.wikipedia.org/wiki/Message-Digest_Algorithm_5

1993 - (vor 24 Jahren!!) Veröffentlichung eines Algorithmus zur Erzeugen
        von Pseudokollisionen.
1996 - (vor 21 Jahren!!) Realisierung einer echten md5-Kollision.
2004 - (vor 13 Jahren!!) Systematische Realisierung von md5-Kollisionen.
2008 - (vor 9 Jahren!!) Erste erfolgreiche Durchführung eines Angriffs
        auf md5 und Fälschung eines SSL-Zertifikates.
2012 - Die Malware "Flame" verwendet falsche Code-Signing-Zertifikate
        welche auf md5-Schwäche basieren.

Gruß Jürgen

-- 
Mail: juergen at eisfair.org


Mehr Informationen über die Mailingliste Eisfair_dev