Ich habe die arbeit zu den schwächen in der implementazjon des pseudozufallszahlengenerators ins openSSL¹ jetzt mehr überflogen. Natürlich ist so ein fehler übel und gehört schnell behoben, aber ganz so schlimm las es sich doch nicht. Die autoren haben das problem auch als eher geringfügig eingeschätzt und gleich gezeigt, wie man es beheben kann. Na ja, es wird ja diesmal auch kein private key veröffentlicht, wie wirs vor zwei jahren hatten… Demnächst wird es mal wieder großes openSSL-austauschen geben, hatten wir ja lange nicht. 😦
Viel bemerkenswerter fand ich, dass aus einem kommentar in kwelltexten klar wird, dass openSSL-programmierer von dieser schwäche gewusst zu haben scheinen. Weia! So sieht es bei den leuten aus, denen die menschheit den größten teil ihrer verschlüsselten kommunikazjon anvertraut. 😦
Na ja, immerhin scheinen sich inzwischen ein paar leute mehr mal den kohd gründlich anzuschauen. Dadurch kanns nur besser werden.
Nachtrag: in einem anfall geistiger mondscheinbeleuchtung habe ich ursprünglich openSSH getippt, aber es geht um openSSL. Und natürlich war das ein kakaskadierender vertipper. Weia, so ein gehirn…
¹Keine lektüre, die leicht zu lesen ist, und natürlich in englisch.