Ошибка в Debian OpenSSL – “неслучайные числа”
Оказывается, в Debian OpenSSL на днях обнаружили суперсерьёзный дефект: генератор псевдослучайных последовательностей оказался легко предсказуем из-за того, что использовался малый набор возможных инициализирующих значений. Генератор, понятно, служит для генерации криптографических ключей. При этом ошибку, прожившую полтора года, в код внесли удалением двух строчек, раздражавших анализаторы кода. Цитирую Алексея Тутубалина:
Пользуясь случаем, в очередной раз вытираю ноги о миф, что открытость исходников – это путь к надежности. Баге – почти два года, система распространенная, сколько сейчас будет “взломов” (и без кавычек – тоже) – страшно подумать.
Комикс по теме:
Адрес записки: https://dxdt.ru/2008/05/16/1362/
Похожие записки:
- "Внешний ИИ" масштаба Apple
- Дорисовывание Луны смартфонами Samsung
- Неверные обобщения "принципа Керкгоффса"
- Доверенные программы для обмена сообщениями
- Реплика: программные "демультиплексоры" протоколов уровня приложений
- Браузеры и перехват TLS без участия УЦ
- Статья о Certificate Transparency
- Описание возможностей тестового сервера TLS 1.3
- Статья Cloudflare про ECH/ESNI
- Обновление описания TLS
- Реплика: о языках программирования, из практики
Комментарии читателей блога: 3
1. 17th May 2008, 10:50 // Читатель alm написал:
Вобще очень нравится портал ваш сайт.
Но по поводу открытых и закрытых исходников бред,
гарантия открытых исходников не в отсутвии ошибок,
а в том, что их не делают преднамерено. Ведь если
в закрытом продукте есть такие вещи они существуют
там не два года, а целую вечность, либо пока разработчика,
не ткнут в г лицом или пока он не захочет их убрать.
2. 17th May 2008, 11:07 // Александр Венедюхин ответил:
Но по поводу открытых и закрытых исходников бред,
гарантия открытых исходников не в отсутвии ошибок,
а в том, что их не делают преднамерено.
Очень интересно. То есть, кто-то где-то расписался, что две строчки из кода OpenSSL удалили без всяких задних мыслей? Как вообще можно обсуждать мотивацию-то?
3. 17th May 2008, 12:19 // Читатель alm написал:
Как мне кажется Debian проект базирующийся на энтузиазме и как многие подобные проекты, и не претендует на эталон, тем более в безопасности и тд. Применительно к этому проекту, вобще нельзя применять такую терминологию, все оговорено у них на сайте в лицензионном соглашении. А вот ошибка в обработке TCP стека в ОС от МС которую закрыли тока в этом году это вопиюще. Жаль, что не увидим мы никогда надпись
типа:
// А это предназначено для наших любимых спецслужб и
мы как истинные патриоты Америки не будем их убирать.
Честно сказать, очень восхищаюсь проектом Debian и многими другими подобными – про цепь взломов, не особо
верится некомпетенные Админы опасны везде и всегда…