Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, сообщил (https://ostif.org/openvpn-audit-updates-news-and-more/) об успешном ходе сбора средств для оплаты проведения полного независимого аудита механизмов шифрования, применяемых в пакете OpenVPN (https://openvpn.net/) (за две недели собрано 34 тысячи долларов из запланированных 71 тысячи). Начало работы намечено на январь 2017 года. Работа будет выполнена французской компанией QuarksLab, которая уже привлекалась для аутида проекта VeraCrypt и находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки.
Кроме того, стало известно (https://www.privateinternetaccess.com/blog/2016/12/private-i... об ещё одной инициативе проведения аудита OpenVPN, инициированной группой VPN-провайдеров. Проверка затронет ветку OpenVPN 2.4, которая пока находится на стадии тестирования кандидата в релизы (https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24). Координацией проведения аудита займётся Мэттью Грин (Matthew Green (https://en.wikipedia.org/wiki/Matthew_D._Green)), инициатор аудита TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe (https://www.opennet.ru/opennews/art.shtml?num=39446), Dual_EC_DRBG (https://www.opennet.ru/opennews/art.shtml?num=38768), Speedpass и EZpass.Попытки организации совместной работы группы VPN-провайдеров и OSTIF пока не увенчались успехом. Аудит OSTIF подразумевает организацию закрытого взаимодействия между авторами и проверяющими, для предотвращения досрочных утечек сведений о выявленных в процессе аудита проблемах и оперативного исправления ошибок по мере их выявления. Со своей стороны, группа VPN-провайдеров заверила пользователей, что вначале результаты проверки будут направлены разработчикам OpenVPN, и только после исправления выявленных ошибок, отчёт о выполненном аудите будет представлен публично. Кроме того, вопросы вызывает ангажированность проверяющих - ожидается что аудит от группы VPN-провайдеров будет выполнен специалистами NCC Group Cryptography Services, в то время как некоторые разработчики OpenVPN работают в компании FoxIT, которая является подразделением NCC Group.
URL: https://ostif.org/openvpn-audit-updates-news-and-more/
Новость: https://www.opennet.ru/opennews/art.shtml?num=45646
Аудил L2TP и IPSec уже проводили? Как оно?
"Чистый" L2TP - дырка, такая же, как и PPTP (вектор и стоимость атаки- идентичные). Про IPsec написано уже овердофига исследований, есть известные... скажем так, недоработки, но "правильно приготовленный" IPsec пока выглядит надежным. L2TP/IPsec, теоретически, должен быть настолько же надежным (или насколько же дырявым), как и "чистый" IPsec.
> "правильно приготовленный" IPsec пока выглядит надежнымСтоит отметить, что IPsec с PSK трудно отнести к надёжным. Только сертификаты.
Кроме того, если вам не требуется именно L2 туннель, то L2TP нафиг не нужен, достаточно голого IPsec, благо современные ОС это давно умеют.
Уметь-то умеют, вот только ipsec без vti - это боль
> Аудил L2TP и IPSec уже проводили? Как оно?Никак. Первое никогда и не позиционировалось как что-то надежное, второе слишком сложное и муторное чтобы иметь какой либо смысл вообще. Это означает что лажа случится еще на этапе конфигурации. Примерно как с SSL/TLS.
Как будто французу невозможно сделать предложение, от которого он не сможет отказаться, пока он на конференции в Сан-Франциско себя тяпкой в грудь бьет.
Француза придется покупать, а своему можно приказать
Разве в России принуждают использовать шпионское ПО? Сейчас можно загреметь на всю катушку за это. Должен сказать, что поддерживаю инициативы правительства по поддержке ИТ, но их не хватает, очевидно. Если бы правительство договорилось с Fujitsu о переносе части производств в Россию, SPARC процессоры и системные платы, ну и др. нау-хау.
>использовать шпионское ПО? Сейчас можно загреметь на всю катушку за этоПосадки за Майкросоувт уже были, я пропустил?!
Дались вам эти SPARCи. Пусть лучше с TSMC договариваются о переносе части производства, чтом Эльбрусы, Байкалы и КОМДИВы-64 выпекать.
> Дались вам эти SPARCи. Пусть лучше с TSMC договариваются о переносе части
> производства, чтом Эльбрусы, Байкалы и КОМДИВы-64 выпекать.Не возможно. 90% серверных мощностей мирового бизнеса задействовано на этой архитектуре.
8% - Это IBM, но до него никому нет дела, как и ему до всего мира.
90%? вау, а где? у нас 2 последних спарка переехали на помойку пару лет назад, щас все на виртуализации, ит рубят целыми подразделениями.
> 90% серверных мощностей мирового бизнеса задействовано на этой архитектуре....столица переезжает в Нью-Васюки.
> Fujitsu о переносе части производств в Россию, SPARC процессоры и системные
> платы, ну и др. нау-хау.В духе этого правительства было бы запретить ввоз в РФ процессоров и обязать покупать эльбрусы за тридцатник. А в чем эта "поддержка IT" заключается, кстати?
Как будто у лягушатников нет своих КГБ.
Если исходить из статистики количества уязвимостей и дыр на проект, то явно такие проекты как adobe flash (хоть и не открытый), openssl, всякие библиотеки для xml, регулярок и другие, нуждаются в независимом аудите в первую очередь.
Интересно - ГОСТ-овскую сборку проверяли? Не думаю, что французы чего найдут...
Открытый используем.СКЗИ "МагПро КриптоПакет" в. 2.1 в комплектации "МагПро OpenVPN-ГОСТ"
http://www.cryptocom.ru/products/openvpn.html
выдан на СКЗИ «МагПро КриптоПакет» версии 2.1 по классам КС1 и КС2.
Надо. Причем в обязательном порядке, публично и независимо, иначе получается что-то близкое к security by obscurity и ставит под сомнения всю целесообразность и эффективность вместе со всеми сертификациями ...
OpenVPN идет под лицензией GPLv2. Что-то я на их сайте не увидел модифицированных исходников. Сперли код и стригут бабло.
Купите, должны дать исходники вместе с покупкой. А на сайте они выкладывать не обязаны.
На сайте можно скачать демо-версию, в которой есть только бинарники. Так что тут явное нарущение GPL.
> СКЗИ "МагПро КриптоПакет" в. 2.1 в комплектации "МагПро OpenVPN-ГОСТ"Одно только название этого пакета намекает что его использование для, собственно, защиты информации - заявка на залет.
А чего его аудитить-то? Если верить кулхацкерам из соседней темы, то он расшифровывается в МИТМе на ура.
А кулхацкеры твои диванные - они кто?
> А кулхацкеры твои диванные - они кто?Такие же, как оно само, флудорасы, истончённые до полного истирания иронизаторы, вруны-болтуны и записные форумные криптографы. Да, и вообще, мы замечательные общечеловеки, вот, сами убедитесь: https://www.opennet.ru/openforum/vsluhforumID3/109852.html#45
> расшифровывается в МИТМе на ура.В дефолтной конфиге зачастую так и есть. Если mitm может стать клиентом - у него есть клиентский серт, подписанный той же CA. Прикол в том что без дополнительной подсказки в конфиге - openvpn тип серта не проверяет. И любой клиент может в два счета сделать именно это самое. Лечится, НО это ж надо в наворотах SSL/TLS и openvpn разбираться. Сколько человек так умеет - ну ты понял.
Вот вам ништяки - наслаждайтесь.https://shadowsocks.org/en/index.html
Ниочём. Вот как проверят, тогда и пишите новость.
Не нравится мне эта новость, вспомните, чем в итоге закончилась проверка Truecrypt-a.
Одноразовые шифрблокноты никто не победит. 8) Интересно, почему нет во всех дистрибах такого софта?
Т.е. максимально деревянный туннель, ты сам генеришь энтропию на source, на дискетке, обернутой фольгой везёшь на destination и вуаля!
несколько гигов одноразовых блокнотов пожатых архиватором хватит для защищенного месседжера на всю жизнь. Но почему то этой функцией не пользуется ни кто.
Интересно, чем дело кончилось?