On Wed, May 14, 2008 at 11:46:06AM +0200, marco ghidinelli wrote:
da quello che ho letto (il debian cve, nient'altro) sembra che le chiavi private non siano proprio cosi' casuali.
tra l'altro il detector riesce a trovare le chiavi guessabili via rete (connettendosi all'ssh)...
cosi' a naso mi sembra una situazione un po' grave.
aggiornamento, e rogna successiva:
http://www.debian.org/security/key-rollover/index.en.html
i nuovi pacchetti di sicurezza debian dovrebbero detectare da soli le chiavi vulnerabili.
il problema adesso e' che su laundry non arrivano piu' gli aggiornamenti di sicurezza: la etch e' uscita circa un avvo fa, e appunto nelle note di rilascio dicevano che per circa un anno ci sarebbero stati aggiornamenti di sicurezza x la sarge.
l'anno e' passato, ormai.