Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Ошибка реализации TLS Heartbeat в OpenSSL (heartbleed)
По крайней мере, “углубившийся” анализ исходного кода криптобиблиотек даёт свои результаты – в OpenSSL открылась уязвимость, приводящая к утечке содержимого памяти (и на сервере, и на клиенте – без разницы: уязвимость универсальная). Естественно, такая утечка означает, что могли утечь секретные ключи; смена секретных ключей влечёт за собой смену сертификатов, в общем, проблем добавится.
Скорее всего, обнаружение подобных шедевров в коде наиболее распространённых библиотек продолжится. Конечно, с каждой найденной ошибкой защищённость растёт, это факт. Но если учитывать, что в АНБ (наверняка) есть хорошо аннотированные каталоги подобных уязвимостей, то рост защищённости уже не кажется таким уж многообещающим.
Кстати, это очередной хороший пример, объясняющий, почему может быть полезно хранить полный дамп шифрованного трафика. В штатных логах данная утечка никак не отражается, то есть, обнаружить в логах, что утекли ключи – не выйдет (только предположить, что могли утечь). А вот в дампе трафика ключи вполне себе будут заметны, и утечку можно детектировать с высокой точностью.
Пара полезных ссылок:
Diff исправления уязвимости (добавлена проверка границы области памяти, в общем-то, достаточно очевидная для опытного аудитора кода; но такой аудитор должен был ещё посмотреть в код, да).
Онлайн-инструмент для проверки уязвимости конкретного веб-сервера (проверил – похоже, работает корректно).
Адрес записки: https://dxdt.ru/2014/04/09/6727/
Похожие записки:
- Ежегодное обновление технического описания TLS
- Планы по замене криптосистемы DNSSEC в корне DNS
- Техническое: poison-расширение и SCT-метки в Certificate Transparency
- Статья о Certificate Transparency
- Отслеживание и геолокация чипов GPU
- Работа GPS и коррекция по данным многих устройств
- IACR и ключ от результатов выборов
- Как DNS работает через TLS: DNS-over-TLS на практике
- Описание DoS-атаки с HTTP/2 от Cloudflare
- Забавные капчи
- Сайт OpenSSL и сегментация интернетов
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 3
1 <t> // 9th April 2014, 11:36 // Читатель SunChaser написал:
Непонятно немного со сканером. Разрабы CentOS утверждают что выпустили патч, я его поставил, но сканер всё равно показывает, что мой сервак уязвим. Центосовцы нагнали?
2 <t> // 9th April 2014, 14:09 // Александр Венедюхин:
Сервисы, конечно, перезапускали?
3 <t> // 9th April 2014, 16:43 // Читатель SunChaser написал:
Конечно. Ребутнул виртуалку сразу же
Но проблема нашлась — кроме OpenSSL надо было отдельно обновить SPDY