| 1.1, Аноним (-), 11:10, 11/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
За время сколько уж там ошибок находили другие?
Но все равное полезно хотя бы в части качества энтропии.
| | |
| |
| 2.13, Анонимко (?), 13:04, 11/02/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
Какие еще другие?
Просто немецкий филиал АНБ подвел некоторые итоги работы за последние пару лет)
| | |
| 2.23, pavlinux (ok), 17:38, 11/02/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 А что-то косяк у них в показаниях.
В заголовке написано
Quellcode-basierte Untersuchung von
kryptographisch relevanten Aspekten der
OpenSSL-Bibliothek
OpenSSL 1.0.1g
ниже, в содержании:
1.1.2 Konfiguration in Ubuntu 14.04 (OpenSSL 1.1.0f)..........................................................12
в тексте
1.1.2 Konfiguration in Ubuntu 14.04 (OpenSSL 1.1.0f)
Für das Ubuntu-Paket werden vor dem Build verschiedene Patches angewendet:
Они чо, прилепили патчи для 1.1.0f из бубунты на оригинальные исходники версии 1.0.1g ? :\
На Blowfish ваще забили.
Забили и на NIST P-384/521
Про RDRAND "... не должен использоваться для криптостойких случайных данных"
При этом сами них...я не делали, а тупа сослались на чужой доклад. :) http://eprint.iacr.org/2014/504
VIA Padlock Engine: "Рекомендация 30: В rand_pseudo_bytes () - функция двигателя VIA Padlock не должны использоваться."
Где они накопали VIA Padlock Engine, если материнка на интеловском чипсете?!
Ну допустим мать VIA и проц VIA C3/C7, тогда где они нарыли RDRAND?
Шо, переносили код на разные машины и сравнивали?
Ниже, по их тексту, анализ других железяк тупа по работе драйвера интерфейса.
Написали: не использовать IBM CA, Zencode Engine, Cluster Labs, так как в случае ошибки
функция rand_pseudo_bytes() возвращает ноль!
Надо было наверно исправить чтоб в случае ошибки возвращалось -1 и проверить работу.
Зато они разрешили юзать генератор FIPS RNG! Рекомендованный АНБ и NIST. Ога, щаз, бежим и прыгаем. :D
Только Blowfish и ECDSA RAND!!!
--
Какой-то показушный отчёт... фу, бяка не нужная.
| | |
| |
| 3.26, pavlinux (ok), 18:41, 11/02/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Написали: не использовать IBM CA, Zencode Engine, Cluster Labs,
> так как в случае ошибки функция rand_pseudo_bytes() возвращает ноль!
Пля, во лохи... маны не курят. Теперь я спокоен за безопасность России, фрицы в жопе. :)
$ man RAND_pseudo_bytes
RETURN VALUES
RAND_bytes() returns 1 on success, 0 otherwise. The error code can be obtained by
ERR_get_error(3). RAND_pseudo_bytes() returns 1 if the bytes generated are
cryptographically strong, 0 otherwise. Both functions return -1 if they are not
supported by the current RAND method.
Результат RAND_pseudo_bytes() полюбасу не должен использоваться если она возвращает всё кроме 1.
| | |
| |
| 4.27, Vkni (ok), 18:55, 11/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > фрицы в жопе. :)
Это не новость - после недавнего скандала с прослушкой Меркель, очевидно, что немецкий контрразведчик - это что-то типа британского учёного. Но, хочу отметить, что безопасность России не зависит ни от Зимбабве, ни от Бразилии, ни от Германии.
| | |
| |
| 5.29, pavlinux (ok), 19:07, 11/02/2016 [^] [^^] [^^^] [ответить]
| +6 +/– |
>> фрицы в жопе. :)
> Это не новость
Да пофег, тема про анализ ОпенССЛ.
errno = 0;
if (RAND_pseudo_bytes(...) != 1) {
if (ERR_get_error() != 0)
printf("Только тут множно говорить, что была ошибка\n");
} else
printf("Нимецкайа ошипка\卍");
| | |
|
|
|
|
| |
| 2.6, ssh (ok), 11:48, 11/02/2016 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Тео пришёл - порядок навешёл!
Что же всё-таки сделал Тео? ;)
| | |
|
| 1.7, Аноним (-), 11:53, 11/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Спецслужбы Германии
это которые прослушку в телефоне меркель провафлили?
| | |
| 1.8, Аноним (-), 12:03, 11/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
За немецким канцлером и бундесвером подслушивают и подглядывают. Заявки о некритичных недоработках в криптографии от служб безопасности, которые не могут защитить свое начальство - как минимум сомнительны, и вызывают не слабое подозрения наличия закладок и.т.п.
| | |
| |
| 2.18, Аноним (-), 14:29, 11/02/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> За немецким канцлером и бундесвером подслушивают и подглядывают.
Как и за любым другим, Кэп.
> которые не могут защитить свое начальство
У вас своя, собственная сеть осведомителей или откуда такая уверенность?
| | |
| |
| 3.30, Аноним (-), 21:08, 11/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
О, вот и минусующие Прозреватели Истины подтянулись.
Ведь они точно знают, что "можешь сливать дезу^W^W считать до десяти - остановить на семи..." - для лохов! А вумный опеннетчик^W человек никогда не упустит возможность блеснуть своим интеллектом и осведомленность!
| | |
|
|
| 1.9, абвгдейка (ok), 12:10, 11/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 когда какая-нибудь спецслужба, говорит, что все ок, значит этим пользоваться нельзя:)
| | |
| |
| 2.19, Клыкастый (ok), 15:53, 11/02/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 спецслужба Малого Завалинска говорит, что ок, ты можешь пользоваться деньгами и ватерклозетом.
*facepalm* госспади, как же управляемы эти подростковые свободолюбцы...
| | |
|
| 1.17, IZh. (?), 14:06, 11/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Никакой аудит не может гарантировать, что проблем нет. (Только полная верификация соответствия модели такое может сделать.) Но зато, если аудит что-то нашёл, то почему бы и не исправить?
| | |
| |
| 2.24, n1h2 (?), 17:43, 11/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
А зачем исправлять, если даже и нашли будут использовать.
| | |
|
| |
| 2.25, Аноним (-), 17:53, 11/02/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Еще генератор случайных чисел подправьте, чтобы точно мы не взломали ;)
| | |
| 2.28, Vkni (ok), 18:59, 11/02/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Спецслужба Германии: OpenSSL чист, мы не можем его взломать.
Это вполне может быть и правдой. Они же прослушку Меркель продолбали.
| | |
|
|
