The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

11.02.2016 10:53  Спецслужбы Германии опубликовали результаты аудита OpenSSL

Немецкое Федеральное управление по информационной безопасности (бывший криптографический отдел Федеральной разведывательной службы Германии) опубликовало результаты аудита надёжности криптографических методов, реализованных в пакете OpenSSL. Основное внимание при проверке было уделено изучению возможных обходных путей проявления ранее найденных уязвимостей в алгоритмах шифрования, а также проверке соответствия результатов работы библиотеки заявленным в спецификации параметрам.

В итоге, в OpenSSL не было найдено серьёзных уязвимостей, но были выявлены некритичные недоработки, связанные с генератором псевдослучайных чисел (PRNG). В частности, указано на проблемы, касающиеся формирования и управления энтропией, которые проявляются при определённых настройках и флагах компиляции, использование которых приводит к непредвиденному эффекту, негативно сказывающемуся на качестве энтропии.

  1. Главная ссылка к новости (http://www.heise.de/open/meldu...)
  2. OpenNews: Спецслужбы Германии провели аудит TrueCrypt
  3. OpenNews: Критическая уязвимость в OpenSSL
  4. OpenNews: Предварительный выпуск OpenSSL 1.1.0 с поддержкой ChaCha20 и Poly1305
  5. OpenNews: Правительство Нидерландов выступило за стойкое шифрование и выделило 500 тысяч евро на развитие OpenSSL
  6. OpenNews: Обновления OpenSSL 1.0.1r и 1.0.2f с устранением уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:10, 11/02/2016 [ответить] [смотреть все]
  • +2 +/
    За время сколько уж там ошибок находили другие Но все равное полезно хотя бы в ... весь текст скрыт [показать]
     
     
  • 2.13, Анонимко, 13:04, 11/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Какие еще другие Просто немецкий филиал АНБ подвел некоторые итоги работы за по... весь текст скрыт [показать] [показать ветку]
     
  • 2.23, pavlinux, 17:38, 11/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А что-то косяк у них в показаниях В заголовке написано code Quellcode-basie... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, pavlinux, 18:41, 11/02/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Пля, во лохи маны не курят Теперь я спокоен за безопасность России, фрицы в ... весь текст скрыт [показать]
     
     
  • 4.27, Vkni, 18:55, 11/02/2016 [^] [ответить] [смотреть все]  
  • +/
    Это не новость - после недавнего скандала с прослушкой Меркель, очевидно, что не... весь текст скрыт [показать]
     
     
  • 5.29, pavlinux, 19:07, 11/02/2016 [^] [ответить] [смотреть все]  
  • +6 +/
    >> фрицы в жопе. :)
    > Это не новость

    Да пофег, тема про анализ ОпенССЛ.  

    [code]
    errno = 0;
    if (RAND_pseudo_bytes(...) != 1) {
        if (ERR_get_error() != 0)
             printf("Только тут множно говорить, что была ошибка\n");
    } else
        printf("Нимецкайа ошипка\卍");

    [/code]      


     
  • 1.2, Аноним, 11:10, 11/02/2016 [ответить] [смотреть все]  
  • +/
    В кои-то веки !решeто.
     
  • 1.3, Аноним, 11:10, 11/02/2016 [ответить] [смотреть все]  
  • +/
    fix: За время аудита ...
     
  • 1.4, Какаянахренразница, 11:12, 11/02/2016 [ответить] [смотреть все]  
  • +8 +/
    Пускай проверяют. Больше проверок, хороших и разных.
     
  • 1.5, бедный буратино, 11:34, 11/02/2016 [ответить] [смотреть все]  
  • +/
    Тео пришёл - порядок навешёл!
     
     
  • 2.6, ssh, 11:48, 11/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    > Тео пришёл - порядок навешёл!

    Что же всё-таки сделал Тео? ;)

     
     
  • 3.14, Аноним, 13:04, 11/02/2016 [^] [ответить] [смотреть все]  
  • +9 +/
    Навешёл. Написано же!
     
     
  • 4.32, pavlinux, 01:29, 14/02/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    > Навешёл. Написано же!

    )))

     
  • 1.7, Аноним, 11:53, 11/02/2016 [ответить] [смотреть все]  
  • +2 +/
    > Спецслужбы Германии

    это которые прослушку в телефоне меркель провафлили?

     
     
  • 2.10, Аноним, 12:27, 11/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А случайно ли это было?
     
  • 1.8, Аноним, 12:03, 11/02/2016 [ответить] [смотреть все]  
  • –2 +/
    За немецким канцлером и бундесвером подслушивают и подглядывают Заявки о некрит... весь текст скрыт [показать]
     
     
  • 2.18, Аноним, 14:29, 11/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Как и за любым другим, Кэп У вас своя, собственная сеть осведомителей или откуд... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Аноним, 21:08, 11/02/2016 [^] [ответить] [смотреть все]  
  • +/
    О, вот и минусующие Прозреватели Истины подтянулись Ведь они точно знают, что ... весь текст скрыт [показать]
     
  • 1.9, абвгдейка, 12:10, 11/02/2016 [ответить] [смотреть все]  
  • –3 +/
    когда какая-нибудь спецслужба, говорит, что все ок, значит этим пользоваться нел... весь текст скрыт [показать]
     
     
  • 2.11, Аноним, 12:28, 11/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На самом деле можно, но осторожно и не везде.
     
  • 2.19, Клыкастый, 15:53, 11/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    спецслужба Малого Завалинска говорит, что ок, ты можешь пользоваться деньгами и ... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Аноним, 13:47, 11/02/2016 [ответить] [смотреть все]  
  • +/
    Ненужные уязвимости конечно надо править...
     
  • 1.17, IZh., 14:06, 11/02/2016 [ответить] [смотреть все]  
  • +1 +/
    Никакой аудит не может гарантировать, что проблем нет. (Только полная верификация соответствия модели такое может сделать.) Но зато, если аудит что-то нашёл, то почему бы и не исправить?
     
     
  • 2.24, n1h2, 17:43, 11/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А зачем исправлять, если даже и нашли будут использовать.
     
  • 1.20, Тот_Самый_Анонимус, 15:59, 11/02/2016 [ответить] [смотреть все]  
  • +2 +/
    Спецслужба Германии: OpenSSL чист, мы не можем его взломать. Честно-честно. Мамой клянёмся.
     
     
  • 2.25, Аноним, 17:53, 11/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Еще генератор случайных чисел подправьте, чтобы точно мы не взломали ;)
     
  • 2.28, Vkni, 18:59, 11/02/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > Спецслужба Германии: OpenSSL чист, мы не можем его взломать.

    Это вполне может быть и правдой. Они же прослушку Меркель продолбали.

     
  • 1.21, manster, 16:03, 11/02/2016 [ответить] [смотреть все]  
  • +/
    вот молодцы - открытость это уже шаг в сторону безопасности
     
  • 1.31, Аноним, 03:16, 12/02/2016 [ответить] [смотреть все]  
  • +/
    Гентушники с флагами оптимизации где вы?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor