自堕落な技術者の日記

基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通

Debian

続:MD5証明書に警告を出すFirefoxアドオン

自堕落な技術者の日記 : MD5証明書に警告を出すFirefoxアドオン - livedoor Blog(ブログ)
CodeFromThe70s.org
SSL BLACKLIST 4.0 Firefoxアドオン
SSL BLACKLIST Local Databse Firefoxアドオン
http://codefromthe70s.org/sslblacklist.aspx


インターネットでとある申し込みをしようとしたら、のけぞって「あちゃ〜〜〜」と加藤浩次のような声を上げてしまった。

sslblacklist-badkey-warn-anon



ステータスバーはこんなの、、、、

sslblackbox-bar-warn-badkey



うむむ、どうやら危殆化したDebianで作られた鍵を使っているようだ、、、、

どうやって申し込みますかね、、、、

Debian UbuntuのSun Javaパッケージ

元々DebianやUbuntu使いではないので知らなくて仕方なくずっとGNU Java???を使っていたんですが、ちゃんとsun-java5、sun-java6なるパッケージがあるんじゃないですか〜〜〜〜っ。すみません、、、無知で、、、、

<リンク>

http://packages.qa.debian.org/s/

http://packages.qa.debian.org/s/sun-java5.html

http://packages.qa.debian.org/s/sun-java6.html

Ubuntu、Sun Sparc Fireサポートへ - Debian向けJava SE 5パッケージ配布も

http://journal.mycom.co.jp/news/2006/05/31/342.html

openssl-blacklist 0.4.2 (2008.06.17)

OpenSSL/Debian脆弱性/ブラックリストのメモ


Debianのopenssl-blackリストですが地味に更新されていて
2008年6月11日にバージョン0.4がリリースされ
2008年6月17日に0.4.2になっています。
リストとしてはかなり充実しておりRSA 4096bit鍵やbig endianの
CPUのケースにも対応しています。

各リリースに含まれる鍵の対応状況を別館にてまとめましたので
よかったらご覧ください。

<ソースダウンロード>
ftp://ftp.debian.org/debian/pool/main/o/openssl-blacklist

dowkdとopenssl-blacklistの脆弱な鍵生成の違い

OpenSSL/Debian脆弱性/dowkdとopenssl-blacklistのブラックリスト生成の違い


乱数ファイルの状態による違いについて、少し調べて別館で説明しています。

cacert.orgのSSLサーバー証明書のDebian問題の影響2

CAcert NEWS Blog ? Recent Debian private key generation vulnerability


証明書を無償で発行しているサービスである
CAcertでは、Debian・OpenSSLを使っていたそうですが
以下の2つのWebサーバーのSSLサーバー証明書の鍵が
今回のDebian・OpenSSL問題の弱い鍵を使っており
鍵と証明書を更新したことをアナウンスしました。

- https://www.cacert.org
- https://secure.cacert.org

ルート証明書に関しては古いDebianを使っていたので
影響がなかったそうです。

確かに2008年5月20日に証明書が更新されています。
昔の脆弱な時の証明書をゲットしておけばよかった(^^;

しかしながら、悪意があろうが無かろうが誰に対しても
発行してしまうCAcert.orgは、信頼のしようが無いので
変にCAcert.orgのルートを信頼してしまわないほうが
良いと思います。
もし入っていたとしても削除することをオススメします。

CAcert.orgでは、今回のDebian問題に関して、
証明書や証明書発行要求が脆弱な鍵で作られていないか
確認するサービスをやっています。
- http://wiki.cacert.org/wiki/DebianVulnerabilityHandling
- http://hashserver.cacert.org/
PEM形式の証明書や証明書発行要求をペースとして
テストすると、その鍵が脆弱がどうか判断できるようです。
しかしながら、ブラックリストが弱いのか
手持ちの脆弱な鍵を使ったものやopenssl-blacklist-0.3.2の
脆弱な証明書でテストしても
「脆弱である」とは表示はされませんでした。

がっくし、、、、

DebianのOpenSSLはどのように修正されたか2

kurushima @ 自堕落な技術者のヰキ(公開版) - OpenSSL/Debian脆弱性/DebianのOpenSSLはどのように修正されたか


今回のDebianのOpenSSL脆弱性の発端となったソースコードの部分に
ついて調べてみました。


  1. メモリ初期化の誤りが疑われる箇所があったから乱数生成の主要部分をコメントアウトしてしまった
  2. その結果、乱数にはならなくなってしまった
  3. コメントアウトした部分を元にもどし今回の問題は解決した


ということのようです。

詳しくはリンクのページをご覧ください。

Debian OpenSSL問題のまとめ3

kurushima @ 自堕落な技術者のヰキ(公開版) - OpenSSL/Debian脆弱性
Debian OpenSSL問題のまとめ


別館にある自分のウィキでDebian OpenSSL問題についてまとめてみました。
よかったらご覧ください。

PKCS#8 RSA鍵からSSH2公開鍵に変換するJavaコード2

kurushima @ 自堕落な技術者のヰキ(公開版) - OpenSSL/Debian脆弱性/PKCS8秘密鍵→SSH2公開鍵変換ツール


私のウィキページで公開し忘れたので貼っておきます。

Debian OpenSSL問題と各証明書発行サービスの対応2

Q:SSL の証明書の再発行は費用が発生するので行いたくないのですが…


Debian JP で、証明書再発行の有償、無償がまとめられています。

<追記>
別館にてDebian/OpenSSL問題についてまとめています。よかったらご覧ください。(2009.06.11)

openssl-blacklist-0.1の不具合?

Ubuntuのopenssl-blacklist-0.1パッケージをダウンロードし、

脆弱だとされるサンプルの鍵を使って実行してみたんですが

^% openssl-vulnkey examples/bad_rsa.key

^Not blacklisted: 58dce70acfd4dc1a9d28722fc62edb8d30110778 examples/bad_rsa.key

と出てしまいました。ブラックリストとのハッシュの照合の部分がおかしいのではないかと思い、作者のJamieさんにとりあえずメールしてみました。

<追記>

別館にてDebian/OpenSSL問題についてまとめています。よかったらご覧ください。(2009.06.11)

最新記事
Categories
Archives
Twitter
記事Google検索

本ブログ内をGoogle検索
Yahoo!アクセス解析
Travel Advisor
記事検索
QRコード
QRコード
  • ライブドアブログ