Cómo identificar claves privadas generadas por openSSL comprometidas

La gente de Ubuntu ha sacado un paquete llamado openssl-blacklist disponible como instalable desde sus repositorios de software que permite verificar si las claves privadas que tengamos generadas con openSSL están comprometidas o no por el fallo de implementación del generador de números aleatorios del paquete openssl distribuido por Debian y derivados.

Se instala directamente con apt, aptitude, synaptic o con dpkg y descargando el paquete:

sudo apt-get update && sudo apt-get install openssl-blacklist

Su uso es muy sencillo, bastará con ejecutar el comando openssl-vulnkey. Toma como parámetros de entrada los ficheros con las claves privadas en formato PEM.

sudo openssl-vulnkey /etc/apache2/ssl/apache.test.pem
COMPROMISED: 9c4d589707a08ed65508032b41a999a810173592 /etc/apache2/ssl/apache.test.pem

Lo que no me queda muy claro es qué pasa cuando tiene una “validez desconocida”…

sudo openssl-vulnkey /etc/apache2/ssl/apache-ssl-key.pem
Key has unknown validity: /etc/apache2/ssl/apache-ssl-key.pem

Este pequeño comando complementa estupendamente al ssh-vulnkey que verifica en el formato con el que almacena las claves openSSH si alguna de las claves del servidor o los clietnes SSH está comprometida.

Para instalar el paquete en Debian, por ahora se puede descargar directamente desde http://xillion.org/openssl-blacklist/ el paquete y sus firmas digitales para verficarlo.

2 thoughts on Cómo identificar claves privadas generadas por openSSL comprometidas

  1. Juas que bueno… yo me quedo con este otro, muy práctico para imprimir y ponérselo al compañero del curro debianita a muerte. A Ubuntu no le cae tanta colleja por ser “fallo heredado” xDDDDD

Deja un comentario