Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Ошибка в Debian OpenSSL – “неслучайные числа”
Оказывается, в Debian OpenSSL на днях обнаружили суперсерьёзный дефект: генератор псевдослучайных последовательностей оказался легко предсказуем из-за того, что использовался малый набор возможных инициализирующих значений. Генератор, понятно, служит для генерации криптографических ключей. При этом ошибку, прожившую полтора года, в код внесли удалением двух строчек, раздражавших анализаторы кода. Цитирую Алексея Тутубалина:
Пользуясь случаем, в очередной раз вытираю ноги о миф, что открытость исходников – это путь к надежности. Баге – почти два года, система распространенная, сколько сейчас будет “взломов” (и без кавычек – тоже) – страшно подумать.
Комикс по теме:
Адрес записки: https://dxdt.ru/2008/05/16/1362/
Похожие записки:
- Ежегодное обновление технического описания TLS
- Вывод ключей Kyber768 на tls13.1d.pw
- IACR и ключ от результатов выборов
- Реплика: снова биометрия
- Техническое: TLS-сообщение с постквантовой криптосистемой Kyber768
- Unicode и отображение клинописных цифр
- Полиморфизм закладок в стиле ROP
- Неверные обобщения "принципа Керкгоффса"
- Ретроспектива заметок: "умные счётчики"
- Мессенджер и удаление сообщений
- Техническое: ошибки делегирования в DNS
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 3
1 <t> // 17th May 2008, 10:50 // Читатель alm написал:
Вобще очень нравится портал ваш сайт.
Но по поводу открытых и закрытых исходников бред,
гарантия открытых исходников не в отсутвии ошибок,
а в том, что их не делают преднамерено. Ведь если
в закрытом продукте есть такие вещи они существуют
там не два года, а целую вечность, либо пока разработчика,
не ткнут в г лицом или пока он не захочет их убрать.
2 <t> // 17th May 2008, 11:07 // Александр Венедюхин:
Но по поводу открытых и закрытых исходников бред,
гарантия открытых исходников не в отсутвии ошибок,
а в том, что их не делают преднамерено.
Очень интересно. То есть, кто-то где-то расписался, что две строчки из кода OpenSSL удалили без всяких задних мыслей? Как вообще можно обсуждать мотивацию-то?
3 <t> // 17th May 2008, 12:19 // Читатель alm написал:
Как мне кажется Debian проект базирующийся на энтузиазме и как многие подобные проекты, и не претендует на эталон, тем более в безопасности и тд. Применительно к этому проекту, вобще нельзя применять такую терминологию, все оговорено у них на сайте в лицензионном соглашении. А вот ошибка в обработке TCP стека в ОС от МС которую закрыли тока в этом году это вопиюще. Жаль, что не увидим мы никогда надпись
типа:
// А это предназначено для наших любимых спецслужб и
мы как истинные патриоты Америки не будем их убирать.
Честно сказать, очень восхищаюсь проектом Debian и многими другими подобными – про цепь взломов, не особо
верится некомпетенные Админы опасны везде и всегда…