The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Спецслужбы Германии опубликовали результаты аудита OpenSSL"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от opennews (??) on 11-Фев-16, 11:10 
Немецкое Федеральное управление по информационной безопасности (бывший криптографический отдел Федеральной разведывательной службы Германии) опубликовало (https://www.bsi.bund.de/DE/Publikationen/Studien/OpenSSL-Bib...) результаты аудита надёжности криптографических методов, реализованных в пакете OpenSSL. Основное внимание при проверке было уделено изучению возможных обходных путей проявления ранее найденных уязвимостей в алгоритмах шифрования, а также проверке соответствия результатов работы библиотеки заявленным в спецификации параметрам.


В итоге, в OpenSSL не было найдено серьёзных уязвимостей, но были выявлены некритичные недоработки, связанные с генератором псевдослучайных чисел (PRNG). В частности, указано на проблемы, касающиеся формирования и управления энтропией, которые проявляются при определённых настройках и флагах компиляции, использование которых приводит к непредвиденному эффекту, негативно сказывающемуся на качестве энтропии.

URL: http://www.heise.de/open/meldung/BSI-Audit-OpenSSL-ohne-gros...
Новость: http://www.opennet.dev/opennews/art.shtml?num=43852

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +2 +/
Сообщение от Аноним (??) on 11-Фев-16, 11:10 
За время сколько уж там ошибок находили другие?

Но все равное полезно хотя бы в части качества энтропии.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  –2 +/
Сообщение от Анонимко on 11-Фев-16, 13:04 
Какие еще другие?
Просто немецкий филиал АНБ подвел некоторые итоги работы за последние пару лет)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +2 +/
Сообщение от pavlinux (ok) on 11-Фев-16, 17:38 
А что-то косяк у них в показаниях.

В заголовке написано


Quellcode-basierte Untersuchung von
kryptographisch relevanten Aspekten der
OpenSSL-Bibliothek

OpenSSL 1.0.1g

ниже, в содержании:


1.1.2 Konfiguration in Ubuntu 14.04 (OpenSSL 1.1.0f)..........................................................12

в тексте


1.1.2 Konfiguration in Ubuntu 14.04 (OpenSSL 1.1.0f)
Für das Ubuntu-Paket werden vor dem Build verschiedene Patches angewendet:


Они чо, прилепили патчи для 1.1.0f из бубунты на оригинальные исходники версии 1.0.1g ? :\

На Blowfish ваще забили.

Забили и на NIST P-384/521

Про RDRAND "...  не должен использоваться для криптостойких случайных данных"  
При этом сами них...я не делали, а тупа сослались на чужой доклад. :) http://eprint.iacr.org/2014/504

VIA Padlock Engine: "Рекомендация 30: В rand_pseudo_bytes () - функция двигателя VIA Padlock не должны использоваться."

Где они накопали VIA Padlock Engine, если материнка на интеловском чипсете?!
Ну допустим мать VIA и проц VIA C3/C7, тогда где они нарыли RDRAND?
Шо, переносили код на разные машины и сравнивали?  

Ниже, по их тексту, анализ других железяк тупа по работе драйвера интерфейса.
Написали: не использовать IBM CA, Zencode Engine, Cluster Labs, так как в случае ошибки
функция  rand_pseudo_bytes() возвращает ноль!
Надо было наверно исправить чтоб в случае ошибки возвращалось -1 и проверить работу.

Зато они разрешили юзать генератор FIPS RNG! Рекомендованный АНБ и NIST. Ога, щаз, бежим и прыгаем. :D

Только Blowfish и ECDSA RAND!!!

--

Какой-то показушный отчёт... фу, бяка не нужная.  

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

26. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +2 +/
Сообщение от pavlinux (ok) on 11-Фев-16, 18:41 
> Написали: не использовать IBM CA, Zencode Engine, Cluster Labs,
> так как в случае ошибки функция  rand_pseudo_bytes() возвращает ноль!

Пля, во лохи... маны не курят. Теперь я спокоен за безопасность России, фрицы в жопе. :)

$ man RAND_pseudo_bytes


RETURN VALUES
       RAND_bytes() returns 1 on success, 0 otherwise. The error code can be obtained by
       ERR_get_error(3). RAND_pseudo_bytes() returns 1 if the bytes generated are
       cryptographically strong, 0 otherwise. Both functions return -1 if they are not
       supported by the current RAND method.

Результат RAND_pseudo_bytes() полюбасу не должен использоваться если она возвращает всё кроме 1.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от Vkni (ok) on 11-Фев-16, 18:55 
> фрицы в жопе. :)

Это не новость - после недавнего скандала с прослушкой Меркель, очевидно, что немецкий контрразведчик - это что-то типа британского учёного. Но, хочу отметить, что безопасность России не зависит ни от Зимбабве, ни от Бразилии, ни от Германии.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +6 +/
Сообщение от pavlinux (ok) on 11-Фев-16, 19:07 
>> фрицы в жопе. :)
> Это не новость

Да пофег, тема про анализ ОпенССЛ.  


errno = 0;
if (RAND_pseudo_bytes(...) != 1) {
    if (ERR_get_error() != 0)
         printf("Только тут множно говорить, что была ошибка\n");
} else
    printf("Нимецкайа ошипка\卍");

      


Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

2. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от Аноним (??) on 11-Фев-16, 11:10 
В кои-то веки !решeто.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от Аноним (??) on 11-Фев-16, 11:10 
fix: За время аудита ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +8 +/
Сообщение от Какаянахренразница (ok) on 11-Фев-16, 11:12 
Пускай проверяют. Больше проверок, хороших и разных.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от бедный буратино (ok) on 11-Фев-16, 11:34 
Тео пришёл - порядок навешёл!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +5 +/
Сообщение от ssh (ok) on 11-Фев-16, 11:48 
> Тео пришёл - порядок навешёл!

Что же всё-таки сделал Тео? ;)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +9 +/
Сообщение от Аноним (??) on 11-Фев-16, 13:04 
Навешёл. Написано же!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

32. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +1 +/
Сообщение от pavlinux (ok) on 14-Фев-16, 01:29 
> Навешёл. Написано же!

)))

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

7. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +2 +/
Сообщение от Аноним (??) on 11-Фев-16, 11:53 
> Спецслужбы Германии

это которые прослушку в телефоне меркель провафлили?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +2 +/
Сообщение от Аноним (??) on 11-Фев-16, 12:27 
А случайно ли это было?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  –2 +/
Сообщение от Аноним (??) on 11-Фев-16, 12:03 
За немецким канцлером и бундесвером подслушивают и подглядывают. Заявки о некритичных недоработках в криптографии от служб безопасности, которые не могут защитить свое начальство - как минимум сомнительны, и вызывают не слабое подозрения наличия закладок и.т.п.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  –1 +/
Сообщение от Аноним (??) on 11-Фев-16, 14:29 
> За немецким канцлером и бундесвером подслушивают и подглядывают.

Как и за любым другим, Кэп.
> которые не могут защитить свое начальство

У вас своя, собственная сеть осведомителей или откуда такая уверенность?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

30. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от Аноним (??) on 11-Фев-16, 21:08 
О, вот и минусующие Прозреватели Истины подтянулись.
Ведь они точно знают, что "можешь сливать дезу^W^W считать до десяти - остановить на семи..." - для лохов! А вумный опеннетчик^W человек никогда не упустит возможность блеснуть своим интеллектом и осведомленность!
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

9. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  –3 +/
Сообщение от абвгдейка (ok) on 11-Фев-16, 12:10 
когда какая-нибудь спецслужба, говорит, что все ок, значит этим пользоваться нельзя:)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от Аноним (??) on 11-Фев-16, 12:28 
На самом деле можно, но осторожно и не везде.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +2 +/
Сообщение от Клыкастый (ok) on 11-Фев-16, 15:53 
спецслужба Малого Завалинска говорит, что ок, ты можешь пользоваться деньгами и ватерклозетом.
*facepalm* госспади, как же управляемы эти подростковые свободолюбцы...
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от Аноним (??) on 11-Фев-16, 13:47 
Ненужные уязвимости конечно надо править...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +1 +/
Сообщение от IZh. on 11-Фев-16, 14:06 
Никакой аудит не может гарантировать, что проблем нет. (Только полная верификация соответствия модели такое может сделать.) Но зато, если аудит что-то нашёл, то почему бы и не исправить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от n1h2 on 11-Фев-16, 17:43 
А зачем исправлять, если даже и нашли будут использовать.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +2 +/
Сообщение от Тот_Самый_Анонимус on 11-Фев-16, 15:59 
Спецслужба Германии: OpenSSL чист, мы не можем его взломать. Честно-честно. Мамой клянёмся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +2 +/
Сообщение от Аноним (??) on 11-Фев-16, 17:53 
Еще генератор случайных чисел подправьте, чтобы точно мы не взломали ;)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  –1 +/
Сообщение от Vkni (ok) on 11-Фев-16, 18:59 
> Спецслужба Германии: OpenSSL чист, мы не можем его взломать.

Это вполне может быть и правдой. Они же прослушку Меркель продолбали.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от manster (ok) on 11-Фев-16, 16:03 
вот молодцы - открытость это уже шаг в сторону безопасности
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Спецслужбы Германии опубликовали результаты аудита OpenSSL"  +/
Сообщение от Аноним (??) on 12-Фев-16, 03:16 
Гентушники с флагами оптимизации где вы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру