форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
Сообщение от opennews (??) on 11-Фев-16, 11:10
Немецкое Федеральное управление по информационной безопасности (бывший криптографический отдел Федеральной разведывательной службы Германии) опубликовало (https://www.bsi.bund.de/DE/Publikationen/Studien/OpenSSL-Bib...) результаты аудита надёжности криптографических методов, реализованных в пакете OpenSSL. Основное внимание при проверке было уделено изучению возможных обходных путей проявления ранее найденных уязвимостей в алгоритмах шифрования, а также проверке соответствия результатов работы библиотеки заявленным в спецификации параметрам. В итоге, в OpenSSL не было найдено серьёзных уязвимостей, но были выявлены некритичные недоработки, связанные с генератором псевдослучайных чисел (PRNG). В частности, указано на проблемы, касающиеся формирования и управления энтропией, которые проявляются при определённых настройках и флагах компиляции, использование которых приводит к непредвиденному эффекту, негативно сказывающемуся на качестве энтропии. URL: http://www.heise.de/open/meldung/BSI-Audit-OpenSSL-ohne-gros... Новость: https://www.opennet.ru/opennews/art.shtml?num=43852
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+2 +/–
Сообщение от Аноним (??) on 11-Фев-16, 11:10
За время сколько уж там ошибок находили другие? Но все равное полезно хотя бы в части качества энтропии.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	–2 +/–
	Сообщение от Анонимко on 11-Фев-16, 13:04
	Какие еще другие? Просто немецкий филиал АНБ подвел некоторые итоги работы за последние пару лет)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	23. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+2 +/–
	Сообщение от pavlinux (ok) on 11-Фев-16, 17:38
	А что-то косяк у них в показаниях. В заголовке написано Quellcode-basierte Untersuchung von kryptographisch relevanten Aspekten der OpenSSL-Bibliothek OpenSSL 1.0.1g ниже, в содержании: 1.1.2 Konfiguration in Ubuntu 14.04 (OpenSSL 1.1.0f)..........................................................12 в тексте 1.1.2 Konfiguration in Ubuntu 14.04 (OpenSSL 1.1.0f) Für das Ubuntu-Paket werden vor dem Build verschiedene Patches angewendet: Они чо, прилепили патчи для 1.1.0f из бубунты на оригинальные исходники версии 1.0.1g ? :\ На Blowfish ваще забили. Забили и на NIST P-384/521 Про RDRAND "...  не должен использоваться для криптостойких случайных данных"   При этом сами них...я не делали, а тупа сослались на чужой доклад. :) http://eprint.iacr.org/2014/504 VIA Padlock Engine: "Рекомендация 30: В rand_pseudo_bytes () - функция двигателя VIA Padlock не должны использоваться." Где они накопали VIA Padlock Engine, если материнка на интеловском чипсете?! Ну допустим мать VIA и проц VIA C3/C7, тогда где они нарыли RDRAND? Шо, переносили код на разные машины и сравнивали?   Ниже, по их тексту, анализ других железяк тупа по работе драйвера интерфейса. Написали: не использовать IBM CA, Zencode Engine, Cluster Labs, так как в случае ошибки функция  rand_pseudo_bytes() возвращает ноль! Надо было наверно исправить чтоб в случае ошибки возвращалось -1 и проверить работу. Зато они разрешили юзать генератор FIPS RNG! Рекомендованный АНБ и NIST. Ога, щаз, бежим и прыгаем. :D Только Blowfish и ECDSA RAND!!! -- Какой-то показушный отчёт... фу, бяка не нужная.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	26. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+2 +/–
	Сообщение от pavlinux (ok) on 11-Фев-16, 18:41
	> Написали: не использовать IBM CA, Zencode Engine, Cluster Labs, > так как в случае ошибки функция  rand_pseudo_bytes() возвращает ноль! Пля, во лохи... маны не курят. Теперь я спокоен за безопасность России, фрицы в жопе. :) $ man RAND_pseudo_bytes RETURN VALUES        RAND_bytes() returns 1 on success, 0 otherwise. The error code can be obtained by        ERR_get_error(3). RAND_pseudo_bytes() returns 1 if the bytes generated are        cryptographically strong, 0 otherwise. Both functions return -1 if they are not        supported by the current RAND method. Результат RAND_pseudo_bytes() полюбасу не должен использоваться если она возвращает всё кроме 1.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	27. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
	Сообщение от Vkni (ok) on 11-Фев-16, 18:55
	> фрицы в жопе. :) Это не новость - после недавнего скандала с прослушкой Меркель, очевидно, что немецкий контрразведчик - это что-то типа британского учёного. Но, хочу отметить, что безопасность России не зависит ни от Зимбабве, ни от Бразилии, ни от Германии.
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	29. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+6 +/–
	Сообщение от pavlinux (ok) on 11-Фев-16, 19:07
	>> фрицы в жопе. :) > Это не новость Да пофег, тема про анализ ОпенССЛ.   errno = 0; if (RAND_pseudo_bytes(...) != 1) {     if (ERR_get_error() != 0)          printf("Только тут множно говорить, что была ошибка\n"); } else     printf("Нимецкайа ошипка\卍");
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

2. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
Сообщение от Аноним (??) on 11-Фев-16, 11:10
В кои-то веки !решeто.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
Сообщение от Аноним (??) on 11-Фев-16, 11:10
fix: За время аудита ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+8 +/–
Сообщение от Какаянахренразница (ok) on 11-Фев-16, 11:12
Пускай проверяют. Больше проверок, хороших и разных.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
Сообщение от бедный буратино (ok) on 11-Фев-16, 11:34
Тео пришёл - порядок навешёл!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+5 +/–
	Сообщение от ssh (ok) on 11-Фев-16, 11:48
	> Тео пришёл - порядок навешёл! Что же всё-таки сделал Тео? ;)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	14. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+9 +/–
	Сообщение от Аноним (??) on 11-Фев-16, 13:04
	Навешёл. Написано же!
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	32. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+1 +/–
	Сообщение от pavlinux (ok) on 14-Фев-16, 01:29
	> Навешёл. Написано же! )))
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

7. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+2 +/–
Сообщение от Аноним (??) on 11-Фев-16, 11:53
> Спецслужбы Германии это которые прослушку в телефоне меркель провафлили?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+2 +/–
	Сообщение от Аноним (??) on 11-Фев-16, 12:27
	А случайно ли это было?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	–2 +/–
Сообщение от Аноним (??) on 11-Фев-16, 12:03
За немецким канцлером и бундесвером подслушивают и подглядывают. Заявки о некритичных недоработках в криптографии от служб безопасности, которые не могут защитить свое начальство - как минимум сомнительны, и вызывают не слабое подозрения наличия закладок и.т.п.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	18. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	–1 +/–
	Сообщение от Аноним (??) on 11-Фев-16, 14:29
	> За немецким канцлером и бундесвером подслушивают и подглядывают. Как и за любым другим, Кэп. > которые не могут защитить свое начальство У вас своя, собственная сеть осведомителей или откуда такая уверенность?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	30. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
	Сообщение от Аноним (??) on 11-Фев-16, 21:08
	О, вот и минусующие Прозреватели Истины подтянулись. Ведь они точно знают, что "можешь сливать дезу^W^W считать до десяти - остановить на семи..." - для лохов! А вумный опеннетчик^W человек никогда не упустит возможность блеснуть своим интеллектом и осведомленность!
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

9. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	–3 +/–
Сообщение от абвгдейка (ok) on 11-Фев-16, 12:10
когда какая-нибудь спецслужба, говорит, что все ок, значит этим пользоваться нельзя:)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
	Сообщение от Аноним (??) on 11-Фев-16, 12:28
	На самом деле можно, но осторожно и не везде.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	19. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+2 +/–
	Сообщение от Клыкастый (ok) on 11-Фев-16, 15:53
	спецслужба Малого Завалинска говорит, что ок, ты можешь пользоваться деньгами и ватерклозетом. *facepalm* госспади, как же управляемы эти подростковые свободолюбцы...
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
Сообщение от Аноним (??) on 11-Фев-16, 13:47
Ненужные уязвимости конечно надо править...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+1 +/–
Сообщение от IZh. on 11-Фев-16, 14:06
Никакой аудит не может гарантировать, что проблем нет. (Только полная верификация соответствия модели такое может сделать.) Но зато, если аудит что-то нашёл, то почему бы и не исправить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	24. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
	Сообщение от n1h2 on 11-Фев-16, 17:43
	А зачем исправлять, если даже и нашли будут использовать.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+2 +/–
Сообщение от Тот_Самый_Анонимус on 11-Фев-16, 15:59
Спецслужба Германии: OpenSSL чист, мы не можем его взломать. Честно-честно. Мамой клянёмся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	25. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+2 +/–
	Сообщение от Аноним (??) on 11-Фев-16, 17:53
	Еще генератор случайных чисел подправьте, чтобы точно мы не взломали ;)
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	28. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	–1 +/–
	Сообщение от Vkni (ok) on 11-Фев-16, 18:59
	> Спецслужба Германии: OpenSSL чист, мы не можем его взломать. Это вполне может быть и правдой. Они же прослушку Меркель продолбали.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
Сообщение от manster (ok) on 11-Фев-16, 16:03
вот молодцы - открытость это уже шаг в сторону безопасности
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"	+/–
Сообщение от Аноним (??) on 12-Фев-16, 03:16
Гентушники с флагами оптимизации где вы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема