https://www.opennet.me/openforum/vsluhforumID3/43476.html Неделю назад в списке рассылки анонсов проекта Fedora был опубликован (http://www.opennet.ru/opennews/art.shtml?num=17417) призыв не производить загрузку или обновление пакетов до специального объявления. Сегодня работа серверов была полностью восстановлена, а причины проблем раскрыты (http://www.mail-archive.com/fedora-announce-list@redhat.com/msg01400.html).<br><br><br>Сообщается, что проблемы затронули не только Fedora, но и серверы Red Hat. Злоумышленники неизвестным способом получили контроль над машинами и смогли сформировать (http://rhn.redhat.com/errata/RHSA-2008-0855.html) цифровые подписи для нескольких фиктивных пакетов с OpenSSH, ключами от RHEL 4 и RHEL 5. В репозиториях Fedora и Red Hat пакетов с нарушенной целостностью отмечено не было. <br><br><br>Причина утечки пароля для подписывания пакетов так и не была установлена. Скрипт для выявления фиктивных openssh пакетов представлен на данной странице (http://www.redhat.com/security/data/openssh-blacklist.html) (риск получить фиктивное о...<br><br>URL: http://www.mai https://www.opennet.me/openforum/vsluhforumID3/43476.html#87 Tue, 02 Sep 2008 20:44:47 GMT &gt;&gt;Из вселенной ещё добыть надо. Поинтересуйтесь расценками на аппаратные добывалки -- <br>&gt;Уй.А что, какой-нибудь там тепловой шум оцифровать - не прокатывает?Или как всегда <br>&gt;- достаточно тривиальные и общеизвестные решения при грамотном подходе продаются за <br>&gt;много денег как супер-фичи? <br><br>Дык это ж Сертифицированная Область, соответственно тама Сертифицированные Решения.<br>За Сертифицированные Бабки.<br><br>Для нормальных-то людей оно скорее не упало. :)<br> https://www.opennet.me/openforum/vsluhforumID3/43476.html#86 Mon, 01 Sep 2008 06:57:35 GMT &gt;Из вселенной ещё добыть надо. Поинтересуйтесь расценками на аппаратные добывалки -- <br><br>Уй.А что, какой-нибудь там тепловой шум оцифровать - не прокатывает?Или как всегда - достаточно тривиальные и общеизвестные решения при грамотном подходе продаются за много денег как супер-фичи?<br> https://www.opennet.me/openforum/vsluhforumID3/43476.html#85 Mon, 01 Sep 2008 06:55:36 GMT &gt;наехал на меня и свалил в кусты.<br><br>Ну-ну, на Вас только время тратить. Я же прекрасно знаю, что Ваши вопросы неиссякаемые.<br><br>&gt;Неспортивно так делать.<br><br>Совершенно верно. Не по-олимпийски как-то. В олимпийском движении главное же что? Участие.<br> https://www.opennet.me/openforum/vsluhforumID3/43476.html#84 Mon, 01 Sep 2008 06:42:59 GMT &gt;Выше не про OpenSSL спрашивали, а уже про торрент-клиент.<br><br>Про ed2k клиент, если уж говорить точнее.Осел такой же вариант торента как HTTP - вариант протокола FTP.То есть, иногда что-то общее в их задачах и целях бывает но сделано по разному :)<br><br>&gt; Который вытягивал неоправданно качественную энтропию из системы<br><br>Да вообще кошмар :) энтропии во вселенной оказывается мало :).Ну не пиндец? 8)<br><br>&gt;Как ни странно, никого не защищаю и ни на кого не наезжаю. <br><br>За что я вас уважаю... сам я так к сожалению не умею.<br><br>А вот www2 незачот - отрекламил чудо-фичу потом на вопрос "а что за странные и диковатые предъявы к авторам aMule были по части использования этой фичи?!" - наехал на меня и свалил в кусты.Неспортивно так делать.Michael'у отдельное спасибо что не поленился объяснить в чем прикол.<br> https://www.opennet.me/openforum/vsluhforumID3/43476.html#82 Wed, 27 Aug 2008 03:24:07 GMT &gt;<br>&gt;&gt;/dev/random - быстрый источник псевдослучайных чисел, <br>&gt;&gt;/dev/urandom - как раз источник случайных чисел, где все реальные источники и <br>&gt;&gt;сваливаются в кучу и хэшируются. Поэтому я и сказал, что использовать нужно это "устройство". <br>&gt;<br>&gt;эээ <br>&gt;вообще-то всю жизнь наоборот было! <br><br>1. Очепятка.<br>2. Оказалось, что неинициализированный массив не являлся источником энтропии. Туда энтропия как раз собиралась из разных источников специальной функцией. Вызов этой функции и был закоментирован.<br> https://www.opennet.me/openforum/vsluhforumID3/43476.html#81 Wed, 27 Aug 2008 02:12:59 GMT <br>&gt;/dev/random - быстрый источник псевдослучайных чисел, <br>&gt;/dev/urandom - как раз источник случайных чисел, где все реальные источники и <br>&gt;сваливаются в кучу и хэшируются. Поэтому я и сказал, что использовать нужно это "устройство". <br><br>эээ<br>вообще-то всю жизнь наоборот было!<br> https://www.opennet.me/openforum/vsluhforumID3/43476.html#80 Tue, 26 Aug 2008 08:59:23 GMT &gt;Из того, что читал -- не помню уже, перечитывать сейчас неинтересно. <br><br>Уже почитал заметку в LJ Витуса Вагнера: http://vitus-wagner.livejournal.com/279779.html.<br>Этот неинициализированный массив заполнялся специальной функцией, которая как раз и выбирала источник энтропии. Закоментировали вызов этой функции!<br><br>&gt;&gt;бетономешалка - это их (OpenSSLщиков) внутренний буфер энтропии?<br>&gt;<br>&gt;Выше не про OpenSSL спрашивали, а уже про торрент-клиент.<br><br>Да, вот так этот User294 перескакивает с темы на тему.<br><br>&gt;Который вытягивал <br>&gt;неоправданно качественную энтропию из системы вместо того, чтоб за'seed'ить свой PRNG <br>&gt;и тянуть из него. <br><br>Я тоже это понял, но не стал ничего ему объяснять. Уж очень троллить любит. Ему ответишь - он опять задачку подкинет с претензией типа "докажи что эксперт". А я доказывать ничего не хочу.<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/43476.html#79 Tue, 26 Aug 2008 08:33:36 GMT &gt;Нафиг нужен девайс якобы выдающий рандом если он с этой задачей не справляется <br>&gt;если много рандома из него брать?Или я что-то не понимаю?<br><br>Да Вы, батенька, развращены тем, что если цифра -- так всё можно ;-)<br><br>&gt;Depletes entropy pool звучит как-то дико. Во вселенной по-моему, энтропии на всех хватит.<br><br>Из вселенной ещё добыть надо. Поинтересуйтесь расценками на аппаратные добывалки -- водятся в местах, где положена сильная криптография. И/или погуглите linux enthropy pool, первая страница результатов вполне релевантна.<br><br>&gt;как будто это бага была не в aMule а скорее в реализации <br>&gt;девайса, что он при активном юзании начинает качество терять? :-\ <br><br>Диски при активном юзании (в более чем один ламинарный поток) тоже начинают терять качество (начиная с прокачки и заканчивая сроком службы)...<br><br>Это /dev/zero и /dev/null у нас простые, если перефразировать.<br> https://www.opennet.me/openforum/vsluhforumID3/43476.html#78 Tue, 26 Aug 2008 08:27:32 GMT &gt;Почему тогда исключение неинициализированного массива из источников энтропии <br>&gt;привело к резкому снижению количества генерируемых ключей? Получается массив <br>&gt;был основным источником энтропии? <br><br>Из того, что читал -- не помню уже, перечитывать сейчас неинтересно.<br><br>&gt;&gt;Суть предъявы -- в колодец с питьевой водой загнали грязный шланг и <br>&gt;&gt;ну в бетономешалку сосать. Вместо того, чтоб из соседнего пруда. <br>&gt;Не понял смысла предложения. Это получается у Вас: колодец - random, пруд <br>&gt;- urandom, а грязный шланг - это неинициализированный массив<br><br>Не, шланг -- это обращение :-)<br><br>&gt;бетономешалка - это их (OpenSSLщиков) внутренний буфер энтропии?<br><br>Выше не про OpenSSL спрашивали, а уже про торрент-клиент. Который вытягивал неоправданно качественную энтропию из системы вместо того, чтоб за'seed'ить свой PRNG и тянуть из него.<br><br>&gt;Поясните простыми и доходчивыми словами, мутных без аналогий, а то остаётся только <br>&gt;догадываться кого вы защищаете, а на кого наезжаете? <br><br>Как ни странно, никого не защищаю и ни на