Ошибка в Debian OpenSSL – “неслучайные числа”
Оказывается, в Debian OpenSSL на днях обнаружили суперсерьёзный дефект: генератор псевдослучайных последовательностей оказался легко предсказуем из-за того, что использовался малый набор возможных инициализирующих значений. Генератор, понятно, служит для генерации криптографических ключей. При этом ошибку, прожившую полтора года, в код внесли удалением двух строчек, раздражавших анализаторы кода. Цитирую Алексея Тутубалина:
Пользуясь случаем, в очередной раз вытираю ноги о миф, что открытость исходников – это путь к надежности. Баге – почти два года, система распространенная, сколько сейчас будет “взломов” (и без кавычек – тоже) – страшно подумать.
Комикс по теме:
Адрес записки: https://dxdt.ru/2008/05/16/1362/
Похожие записки:
- Набеги ботов под прикрытием AI
- Многобайтовые постквантовые ключи и TLS
- TLS: выбор сертификата по УЦ в зависимости от браузера
- Браузер Chrome 122 и Kyber768
- Эффекты ИИ-перевода в контексте
- Реплика: разрядность "постквантовых ключей" и квантовые компьютеры
- Атака GhostWrite на аппаратуре RISC-V
- Реплика: продвижение использования ИИ, генерирующего контент
- Стандарты NIST для "постквантовых" криптосистем
- Централизованные мессенджеры и многообразие мест хранения сообщений
- Геоаналитика через "Яндекс"
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 3
1 <t> // 17th May 2008, 10:50 // Читатель alm написал:
Вобще очень нравится портал ваш сайт.
Но по поводу открытых и закрытых исходников бред,
гарантия открытых исходников не в отсутвии ошибок,
а в том, что их не делают преднамерено. Ведь если
в закрытом продукте есть такие вещи они существуют
там не два года, а целую вечность, либо пока разработчика,
не ткнут в г лицом или пока он не захочет их убрать.
2 <t> // 17th May 2008, 11:07 // Александр Венедюхин:
Но по поводу открытых и закрытых исходников бред,
гарантия открытых исходников не в отсутвии ошибок,
а в том, что их не делают преднамерено.
Очень интересно. То есть, кто-то где-то расписался, что две строчки из кода OpenSSL удалили без всяких задних мыслей? Как вообще можно обсуждать мотивацию-то?
3 <t> // 17th May 2008, 12:19 // Читатель alm написал:
Как мне кажется Debian проект базирующийся на энтузиазме и как многие подобные проекты, и не претендует на эталон, тем более в безопасности и тд. Применительно к этому проекту, вобще нельзя применять такую терминологию, все оговорено у них на сайте в лицензионном соглашении. А вот ошибка в обработке TCP стека в ОС от МС которую закрыли тока в этом году это вопиюще. Жаль, что не увидим мы никогда надпись
типа:
// А это предназначено для наших любимых спецслужб и
мы как истинные патриоты Америки не будем их убирать.
Честно сказать, очень восхищаюсь проектом Debian и многими другими подобными – про цепь взломов, не особо
верится некомпетенные Админы опасны везде и всегда…