Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил (https://ostif.org/the-audit-of-openvpn-is-complete/) о завершении независимого аудита механизмов шифрования, применяемых в пакете OpenVPN 2.4.0 (https://www.opennet.ru/opennews/art.shtml?num=45777). Работа выполнена французской компанией QuarksLab, которая уже привлекалась (https://www.opennet.ru/opennews/art.shtml?num=45333) для аудита проекта VeraCrypt и находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки. Результаты пока не разглашаются и 7 апреля будут переданы разработчикам OpenVPN, которые подготовят корректирующий выпуск 2.4.2. Детали, касающиеся выявленных проблем, будут опубликованы одновременно с релизом OpenVPN 2.4.2.
URL: https://ostif.org/the-audit-of-openvpn-is-complete/
Новость: https://www.opennet.ru/opennews/art.shtml?num=46301
> находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки.Ага, конечно.
Франция изолирована от всей планеты, пойми. ЦРУ везде, запод, гейропа и ЦРУ/госдеп везде, а франция как бы на другой планете. Вот так вот.
У себя в туалете проверял? Там тоже ЦРУ-шник сидит.
Не надо тут, в наших туалетах только родные кгбшники.
а почему нет, ведь идея презумпция невиновности может и коммерческими компаниями считаться одной из ключевых в современном обществе.
А что не так?
>> находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки.
> Ага, конечно.DGSE && DRM не такая уж и большая,правда кпд зашкаливает.Не удивлюсь,если они же и проверяли.
А вот что результаты сольют в нато - совсем не уверен.
> Результаты пока не разглашаютсяЗначит много дыр и похвастаться нечем.
А как надо было?
Объявить в стиле: "У нас вот тут и тут дыра, а вот тут вообще сплошной трендец. Пока ещё мы это всё не закрыли, так что, если хотите, юзайте на здоровье". Так чтоли?
Надо было с самого начала написать всё хорошо, а после аудита сообщить что всё хорошо.
Так всё ж хорошо, лохотронщикам, пока верят что VPN - по определению кого то защищает...
Ну и поведайте нам как создать защищенное соединение.
Что нынче в тренде?
Curve25519 — для обмена ключами.
XSalsa20 — для симметричного шифрования.
Poly1305 — для обеспечения целостности сообщений и аутентификации источника данных.
а алгоритм против ошибок программистов?
Rust!!
Патч ядро grsecurity.netСобирай проги с CFLAGS="-fPIE -fstack-protector-all -D_FORTIFY_SOURCE=2" LDFLAGS="-Wl,-z,now -Wl,-z,relro"
И вред от сишных дыр уменьшится на порядок!
-fstack-protector-all для дегенератов
> Патч ядро grsecurity.net
> Собирай проги с CFLAGS="-fPIE -fstack-protector-all -D_FORTIFY_SOURCE=2" LDFLAGS="-Wl,-z,now
> -Wl,-z,relro"
> И вред от сишных дыр уменьшится на порядок!Кстати, вопрос на засыпку: почему именно CFLAGS="-fPIE...", а не CFLAGS="-fPIC..."?! Например, BASH не будет собираться с -fPIE...
Поэтому интересно мнение автора (и/или того, кто сталкивался/разбирался): насколько снизится защищенность "от сишных дыр" при использовании "-fPIC"?
Или же все-таки стоит глобально оставить -fPIE, а -fPIC ставить только там где -fPIE не работает.
>> Патч ядро grsecurity.net
>> Собирай проги с CFLAGS="-fPIE -fstack-protector-all -D_FORTIFY_SOURCE=2" LDFLAGS="-Wl,-z,now
>> -Wl,-z,relro"
>> И вред от сишных дыр уменьшится на порядок!
> Кстати, вопрос на засыпку: почему именно CFLAGS="-fPIE...", а не CFLAGS="-fPIC..."?! Например,
> BASH не будет собираться с -fPIE...
> Поэтому интересно мнение автора (и/или того, кто сталкивался/разбирался): насколько снизится
> защищенность "от сишных дыр" при использовании "-fPIC"?
> Или же все-таки стоит глобально оставить -fPIE, а -fPIC ставить только там
> где -fPIE не работает.А с -fPIC не работает dbus/systemd! :(
> а алгоритм против ошибок программистов?Ты хотел сказать закладок? Ну тут надо софт только от хороших людей. Иначе троянов на пихают и толку от шифрования 0.
> Curve25519 — для обмена ключами.
> XSalsa20 — для симметричного шифрования.
> Poly1305 — для обеспечения целостности сообщений и аутентификации источника данных.Летим? В курсе для чего openvpn?
Похоже нет!
Что ты там олух будешьт симметрично шифровать?
Вики хоть почитал бы
> Что ты там олух будешьт симметрично шифровать?
> Вики хоть почитал быЕще один знаток-википедианец. Чем тебе симметричное шифрование не угодило?
https://openvpn.net/index.php/access-server/docs/admin-guide...
> n order to change the cipher in OpenVPN Access Server you will need to add the following line to both the client and server config directives via the Advanced VPN page:
> cipher ciphername
> If we wanted to enable the AES-256 cipher we would add the following line:
> cipher AES-256-CBC
>
почитай Вики
> почитай ВикиЧто сказать-то хотел?
Может, подумаешь головой, почему все еще применяется симметричное шифрование?
Т.е. для тебя Вид (методология) шифрования и алгоритм шифрования - это одно и тоже?
Замечательно!!!
Ты хочешь сказать, что при создании шифрованного соединения оба клиента используют один и тот же ключ? Так? Ведь это же симметричное шифрование.
> Т.е. для тебя Вид (методология) шифрования и алгоритм шифрования - это одно
> и тоже?
> Замечательно!!!Замечателно что-то там придумал и сразу же cам опроверг.
> Ты хочешь сказать, что при создании шифрованного соединения оба клиента используют один
> и тот же ключ? Так? Ведь это же симметричное шифрование.Завикипедь уж DH (Diffie Hellman), умник. Заодно, посмотри, что такое Curve25519.
Не тупи..
> Не тупи..Альтернотива то какая?
Болтунов куча. Что вместо?
КРУТО!!!
Когда релиз выпускаешь?
Не нынче, а ещё 70 лет назад придумано - одноразовые шифрблокноты. 100% защита при минимуме вычресурсов, хor дешевый
> одноразовые шифроблокиПравильно, сегодня использования PFS (прямой совершенной секретности) - стандарт даже для домохозяйки при обмене кулинарными рецептами.
>> одноразовые шифроблоки
> Правильно, сегодня использования PFS (прямой совершенной секретности) - стандарт даже
> для домохозяйки при обмене кулинарными рецептами.))) Что правильно? Шифрование у вас одинаковое что при создании соединения, что при передачи сообщения? Докатились!
Это ты холдингу расскажи у которого филиалы ва разных городах..
Не врубаешься в тему.. стой в сторонке.
Емае! Какие шифроблокноты? Речь о соединении..
Горе от ума
> Ну и поведайте нам как создать защищенное соединение.а, никак.
Надо было после завершения аудита вообще молчать до всех исправлений и обновлений OpenVPN в дистрах Linux.Теперь когда они "проболтались" что нашли дыры которые "разглашать не будут" всякие спецслужбы все эти дыры с них вытрясут!
Сделал аудит, похвастаться нечем - молчи пока не профиксят все дыры и не распространят обновления!
Разработчиков вежливо попросят внести изменения.
правильные изменения
направленые строго на улучшение жизни пользователей!
Но не всех.
Сделай аудит новых коммитов и дело в шляпе. Делов-то.
По-французски все звучит вежливо. Язык такой.
"Вотр продюи эс ля мерде дю маммут".
Песня же!
> "Вотр продюи эс ля мерде дю маммут".Последнее слово совсем незнакомо, а по остальным догадался, кгм :]
PS: а, мамонта?
> выполнена французской компанией (...) вне юрисдикции крупнейших спецслужбСюртэ? Нет, не слышали.
Ты не понимаешь. Сюртэ - это хорошая мирная спецслужба.
> выполнена французской компанией (...) вне юрисдикции крупнейших спецслужбКрасиво френчей опустили.
>> выполнена французской компанией (...) вне юрисдикции крупнейших спецслужб
> Красиво френчей опустили.Все верно. Только не френчей, а конкретного анонимуса и не кто-то, а он сам.
Вне юрисдикции != вне интереса.
По секрету: обычно "крупнейшие спецслужбы" других государств никаких официальных прав на чужой территории не имеют.
А чтобы поверить, что страна входящая в "ядерный клуб" будет вне интереса мал-мальски крупных спецслужб - нужно быть оптимистом (или очередным анонимным невеждой).
QuarksLab ~ LinkedIn (aka MicroSoft)?! http://www.google.com/search?q=wikileaks%2BQuarksLab
Т.е. аудита не существует? Я так понимаю диванных теоретиков?
Столько язв в обсуждении... Противно, господа. Хотя может товарищи полковники?
Больно большая честь, максимум майор и не товарищи они теперь, а господа.
Ну почему, недавно городили стенд как раз с двумя полковниками.
Стенд городить - да, указание давать - да.
А в опеннете сидеть рассуждать.. ну я вас умоляю))
как там было? Лучший способ обмануться это посчитать себя умнее врага?
> Лучший способ обмануться это посчитать себя умнее врага?А почему врага? Вполне нормальные дядьки, в отличие от мило улыбающихся на камеру и норовящих страну за печенье с вареньем продать.
Рука руку моет...
Одни без других не существуют.
Спрями мысль:"Нет беды тяжелее, чем недооценивать противника. Недооценка противника повредит моему сокровенному средству [дао]."
"Дао дэ Цзин"