Debian是一个流行的Linux发行版本。 Debian的OpenSSL软件包中所使用的随机数生成器使用了弱加密的密钥材料生成SSH、OpenVPN、DNSSEC等密钥,攻击者可以通过暴力猜测攻击破解密钥,破坏数据的保密性。 Debian操作系统所捆绑的OpenSSL软件包从md_rand.c文件中删除了以下代码行: MD_Update(&m,buf,j); [ .. ] MD_Update(&m,buf,j); /* purify complains */ 删除这段代码对OpenSSL PRNG的种子过程产生负面影响,该过程没有从初始种子中混合随机数据,所使用的唯一随机值是当前的进程ID。在Linux平台上,默认的最大进程ID为32,768,因此所有的PRNG运算只使用了很少数量的种子值。
Debian是一个流行的Linux发行版本。 Debian的OpenSSL软件包中所使用的随机数生成器使用了弱加密的密钥材料生成SSH、OpenVPN、DNSSEC等密钥,攻击者可以通过暴力猜测攻击破解密钥,破坏数据的保密性。 Debian操作系统所捆绑的OpenSSL软件包从md_rand.c文件中删除了以下代码行: MD_Update(&m,buf,j); [ .. ] MD_Update(&m,buf,j); /* purify complains */ 删除这段代码对OpenSSL PRNG的种子过程产生负面影响,该过程没有从初始种子中混合随机数据,所使用的唯一随机值是当前的进程ID。在Linux平台上,默认的最大进程ID为32,768,因此所有的PRNG运算只使用了很少数量的种子值。