https://www.opennet.ru/openforum/vsluhforumID3/108867.html Разработчики пакета GnuPG объявили (http://lists.gnu.org/archive/html/info-gnu/2016-08/msg00008.html) о выявлении критической уязвимости в библиотеке Libgcrypt (https://www.gnu.org/software/libgcrypt/), предоставляющей компоненты, лежащие в основе механизмов шифрования, применяемых в GnuPG. Уязвимость присутствует (http://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commitdiff;h=2f62103b4bb6d6f9ce806e01afb7fdc58aa33513;hp=f38199dbc290003898a1799adc367265267784c2) в функции (http://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commitdiff;h=8dd45ad957b54b939c288a68720137386c7f6501;hp=2f62103b4bb6d6f9ce806e01afb7fdc58aa33513) смешивании энтропии генератора псевдослучайных чисел, используемом в Libgcrypt и GnuPG, и позволяет предсказать следующие 20 байт последовательности, получив 580 байт от генератора. Ошибка была допущена на раннем этапе разработки ещё в 1998 году, поэтому проблема присутствует во всех версиях GnuPG и Libgcrypt, выпущенных до 17 августа 2016 года.<br><br><br>Анализ возможных последствий https://www.opennet.ru/openforum/vsluhforumID3/108867.html#40 Mon, 22 Aug 2016 09:23:28 GMT Почему каждое приложение тащит свой дырявый рандом?<br><br>Надо чтобы все юзали /dev/random и написать один нормальный перемешиватель-генератор случайных чисел на все случаи жизни:<br>* поддержка аппаратных TRNG sys-apps/rng-tools<br>* поддержка PRNG основанных на времени timer_entropyd, clrngd<br>* поддержка PRNG с использованием OpenCL на GPU <br>* поддержка ?RNG основанных на веб и прочих камерах, тюнерах (белый шум фотонов) video_entropyd<br>* поддержка ?GNG основанных на звуках с микрофона audio-entropyd<br> https://www.opennet.ru/openforum/vsluhforumID3/108867.html#39 Sat, 20 Aug 2016 19:05:08 GMT Дыра в Libgcrypt, на которую завязан GnuPG 2. Поэтому он очень даже уязвим.<br><br><br>If you are using a GnuPG-2 version (2.0.x or 2.1.x):<br> * Update Libgcrypt. We have released these fixed versions of<br> Libgcrypt: 1.7.3, 1.6.6, and 1.5.6. <br> https://www.opennet.ru/openforum/vsluhforumID3/108867.html#38 Sat, 20 Aug 2016 19:03:02 GMT &gt; "- gnupg2 &lt;not-affected&gt; (Uses system libgcrypt)" <br>&gt; слабо было в новости указать, что это относится только к gpg 1.x? <br><br>А если подумать? Через libgcrypt он очень даже "affected". <br>Дыры нет в коде gnupg2, потому, что начиная с gnupg2 часть функциональности вынесена во внешнюю зависимость libgcrypt. <br><br> https://www.opennet.ru/openforum/vsluhforumID3/108867.html#37 Sat, 20 Aug 2016 15:46:18 GMT "- gnupg2 &lt;not-affected&gt; (Uses system libgcrypt)"<br><br>слабо было в новости указать, что это относится только к gpg 1.x?<br> https://www.opennet.ru/openforum/vsluhforumID3/108867.html#36 Thu, 18 Aug 2016 19:06:13 GMT &gt; до угона очередного ботнета<br><br>fixed.<br> https://www.opennet.ru/openforum/vsluhforumID3/108867.html#35 Thu, 18 Aug 2016 13:38:59 GMT То ли дело проприетарщина - не нашли бы никогда (до появления очередного ботнета), а значит и проблемы нет.<br> https://www.opennet.ru/openforum/vsluhforumID3/108867.html#34 Thu, 18 Aug 2016 12:36:00 GMT FreeBSD обновилась<br>http://www.freshports.org/security/libgcrypt/<br> https://www.opennet.ru/openforum/vsluhforumID3/108867.html#33 Thu, 18 Aug 2016 12:28:06 GMT &gt; Кто смотрит ещё, и нет ли здесь следа рептилоидов?<br><br>Ну, зеленые человечки с Марса смотрели еще... Повымерли после, правда, все, ну что ж тут поделать... ;)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/108867.html#32 Thu, 18 Aug 2016 11:35:43 GMT Не прошло и 20 лет.<br>