Exactly...I don't think this is an issue of compromise during generation so much as by a brute force attack.<br><br>E<br><br><div class="gmail_quote">On Tue, May 13, 2008 at 12:49 PM, Tom Haddon <<a href="mailto:tom@greenleaftech.net">tom@greenleaftech.net</a>> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d">On Tue, 2008-05-13 at 12:44 -0700, Kristian Erik Hermansen wrote:<br>
> Surely the attacker's opportunity would have been during key creation,<br>
> right?  Let's say you have an isolated system not connected to the net<br>
> and you generate an ssl key. You then wipe the box but cntinue using<br>
> the key you generated.   Is your key compromised?<br>
><br>
<br>
</div>Yes, because the random number generator was weak which means that the<br>
keys aren't as random as they should be. From the Ubuntu advisory:<br>
<br>
"As a result of this weakness, certain encryption keys are much more<br>
common than they should be, such that an attacker could guess the key<br>
through a brute-force attack given minimal knowledge of the system. This<br>
particularly affects the use of encryption keys in OpenSSH, OpenVPN and<br>
SSL certificates."[1]<br>
<br>
<a href="http://www.ubuntu.com/usn/usn-612-1" target="_blank">http://www.ubuntu.com/usn/usn-612-1</a><br>
<div><div></div><div class="Wj3C7c"><br>
Thanks, Tom<br>
<br>
<br>
<br>
><br>
><br>
> On 5/13/08, Tom Haddon <<a href="mailto:tom@greenleaftech.net">tom@greenleaftech.net</a>> wrote:<br>
> > On Tue, 2008-05-13 at 10:47 -0700, Kristian Erik Hermansen wrote:<br>
> > > Some people are probably having an "oh shit" moment.  However, I<br>
> > > presume that the random seed would need to have been captured in<br>
> > > real-time while you were creating your encryption keys?  I haven't<br>
> > > looked into it in depth, but ill keep my ears open for new<br>
> > > developments...interesting<br>
> ><br>
> > Unfortunately not:<br>
> ><br>
> > "Luciano Bello discovered that the random number generator in Debian's<br>
> > openssl package is predictable. This is caused by an incorrect<br>
> > Debian-specific change to the openssl package (CVE-2008-0166). As a<br>
> > result, cryptographic key material may be guessable."<br>
> ><br>
> > In other words, any key created during the time this vulnerability was<br>
> > in place should be replaced.<br>
> ><br>
> > Thanks, Tom<br>
> ><br>
> > ><br>
> > ><br>
> > ><br>
> > > On 5/13/08, Ernest De Leon <<a href="mailto:edeleonjr@gmail.com">edeleonjr@gmail.com</a>> wrote:<br>
> > > ><br>
> > <a href="http://www.smbtechadvice.com/2008/05/debian-security-advisory-openssl.html" target="_blank">http://www.smbtechadvice.com/2008/05/debian-security-advisory-openssl.html</a><br>
> > > ><br>
> > > ><br>
> > > > --<br>
> > > > Ernest de Leon<br>
> > > > <a href="http://www.smbtechadvice.com" target="_blank">http://www.smbtechadvice.com</a><br>
> > > ><br>
> > > > "They who can give up essential liberty to obtain a little temporary<br>
> > safety<br>
> > > > deserve neither liberty nor safety." - A common 18th Century sentiment<br>
> > > > voiced by Benjamin Franklin<br>
> > > ><br>
> > > > "A patriot must always be ready to defend his country against his<br>
> > > > government." - Edward Abbey<br>
> > > ><br>
> > > > "All that is necessary for evil to triumph is for good men to do<br>
> > nothing." -<br>
> > > > Edmund Burke, English statesman and political philosopher (1729-1797)<br>
> > > ><br>
> > ><br>
> ><br>
> ><br>
><br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Ernest de Leon<br><a href="http://www.smbtechadvice.com">http://www.smbtechadvice.com</a><br><br>"They who can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety." - A common 18th Century sentiment voiced by Benjamin Franklin<br>
<br>"A patriot must always be ready to defend his country against his government." - Edward Abbey<br><br>"All that is necessary for evil to triumph is for good men to do nothing." - Edmund Burke, English statesman and political philosopher (1729-1797)