Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Реплика: каталоги уязвимостей и АНБ
В одной из записок про OpenSSL упоминается каталог уязвимостей, вероятно, используемый NSA (АНБ). Поясню, о чём идет речь: АНБ – всегда было агентством с большими аналитическими способностями; если посмотреть на известную часть истории, то АНБ активно конкурировало с ЦРУ именно на поле аналитических служб и методов обработки информации, с целью извлечения полезных сведений. Соответственно, было бы удивительно узнать, что специальная группа внутри АНБ не следит пристально за всеми обновлениями и изменениями одной из самых распространённых в мире криптобиблиотек – OpenSSL.
Уже для того, чтобы готовить отчёты и комментарии по результатам работы группы, требуется как-то анализировать исходный код, а не просто считать строки и операторы goto. Естественно, полагать, что специалисты АНБ находят все уязвимости – было бы преувеличением. Но достаточно прозрачные вещи, вроде Heartbleed, они должны иногда замечать.
Что касается оперативности: если процесс анализа выстроен синхронно текущему изменению состояния исходников OpenSSL, то и многие уязвимости могут обнаруживаться достаточно быстро, раньше, чем их увидят другие аналитики. Естественно, всё это предположения, и не факт, что качество анализа АНБ сильно превосходит аналогичный показатель разработчиков сообщества OpenSSL, которые (возможно) читают новый код. Но даже при равных показателях, АНБ может иногда повезти: они заметят дефект, который пропустили “конкуренты”.
Адрес записки: https://dxdt.ru/2014/04/14/6742/
Похожие записки:
- Один сценарий интернет-измерений и поле SNI HTTPS/TLS
- Мессенджер и удаление сообщений
- Хеш-функции для анонимизации
- "Авторизованный трафик" и будущее Интернета
- Как правильно "показать TLS-сертификат", рекомендации
- Twitter за стеной регистрации
- ИИ для принятия решений
- Технические подробности: постквантовая криптосистема X25519Kyber768 в TLS
- Внешние библиотеки на сайтах и замена кода
- Новые криптосистемы на тестовом сервере TLS 1.3
- Публикация ТЦИ о постквантовых криптосистемах