The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH"  +/
Сообщение от opennews (??), 10-Сен-20, 11:35 
Раскрыты сведения о новой уязвимости (CVE-2020-1968) в протоколе TLS, получившей кодовое имя...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53686

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в TLS, допускающая определение первичного ключа д..."  –42 +/
Сообщение от Аноним (1), 10-Сен-20, 11:35 
Когда уже всем станет понятно что это не работает ! Галимотья сделанная для выкачивания бабла за авторизацию сертификатов непонятно у кого. В реальной жизни вы бы им и уборки унитазов не доверили.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +7 +/
Сообщение от Аноним (2), 10-Сен-20, 11:44 
Предлагай альтернативу
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в TLS, допускающая определение первичного ключа д..."  –2 +/
Сообщение от КО (?), 10-Сен-20, 11:45 
Игнор
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +10 +/
Сообщение от YetAnotherOnanym (ok), 10-Сен-20, 12:07 
<troll>Обмен ключами заранее на личной встрече</troll>
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

25. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +3 +/
Сообщение от Иисус (?), 10-Сен-20, 14:55 
Ну да, винца не забудь.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +4 +/
Сообщение от Онаним (?), 10-Сен-20, 18:53 
Чая же. С новичком.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +1 +/
Сообщение от Брат Анон (?), 10-Сен-20, 12:21 
1) Обмен ключами шифрования только при личной встрече
2) Работа через специфический симулятор
3) Динамическая генерация ключей от сессии к сессии
4) Побочный канал для убедиться, что сессия не перехвачена по контрольному слову.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

10. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +3 +/
Сообщение от Аноним (10), 10-Сен-20, 12:31 
Ты не понимаешь зачем это всё нужно. Это нужно, чтобы доступ к чужим данным был только у тех, кому положено его иметь.
Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +1 +/
Сообщение от Аноним (55), 11-Сен-20, 12:58 
Без судебного решения не положено!!!

http://kremlin.ru/acts/constitution/item#chapter2

Статья 23

1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +2 +/
Сообщение от Аноним (10), 11-Сен-20, 13:19 
Ну да, это смешно, но как есть. Нигде и никогда за всё хорошее против всего плохого не будет работать как задекларировано. Это всё пустые декламации.
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +1 +/
Сообщение от Всем Анонимам Аноним (?), 12-Сен-20, 15:05 
Ну надо сказать, что нигде не написано "не раздать всю страну своим друзьям, чтобы доили". Значит можно.
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +/
Сообщение от Аноним (63), 15-Сен-20, 00:03 
ФИДО 2.0
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

64. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +/
Сообщение от Брат Анон (?), 17-Сен-20, 14:34 
> ФИДО 2.0

Уважаемый, вы так это написали, как-будто в этом есть что-то плохое.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +1 +/
Сообщение от Сейд (ok), 10-Сен-20, 15:16 
DANE
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

33. "Уязвимость в TLS, допускающая определение первичного ключа д..."  –1 +/
Сообщение от Аноним (33), 10-Сен-20, 16:51 
да не!
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +2 +/
Сообщение от Gefest (?), 10-Сен-20, 13:13 
Правильно. Сертификаты должно выдавать государство на безвозмездной основе, те даром. Разожрались гады.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

22. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +4 +/
Сообщение от Sarcastic scutosaurus (?), 10-Сен-20, 14:38 
> Сертификаты должно выдавать государство на безвозмездной основе, те даром.

Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +/
Сообщение от Gefest (?), 10-Сен-20, 15:58 
это неплохо :если ключ официально у тов майора, значит  все что нехорошее случилось - это тов майорова провокация ..
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +1 +/
Сообщение от Аноним (35), 10-Сен-20, 17:20 
Сбер так и делает.

А нет, не так. Он генерит, но ничего тебе не выдаёт.
Просто от твоего имени создаст ключи, подпишет ими документы для пенсионного фонда.
Заверит тебя что это для твоего же блага - "Нет, нет. Мы не подделываем Вашу подпись. Это просто чтоб Вам не ходит и самому все не подписывать."

Непонятно почему фонд доверяет ключам сгенерированным сбером. Или сбер уже удостоверяющим центром стал?

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

60. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +/
Сообщение от Всем Анонимам Аноним (?), 12-Сен-20, 15:07 
Банки нередко используются для аутентификации личности, надо сказать. Не знаю хорошо это или плохо.
Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +/
Сообщение от Аноним (55), 11-Сен-20, 13:01 
> Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ.

https://www.opennet.ru/openforum/vsluhforumID10/5512.html

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

28. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +1 +/
Сообщение от Аноним (28), 10-Сен-20, 15:17 
По паспорту.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

54. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +/
Сообщение от Сейд (ok), 11-Сен-20, 09:42 
И доменные имена.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

19. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +1 +/
Сообщение от Аноним (19), 10-Сен-20, 13:55 
Если не нужен престиж, то юзай Let's Encrtypt бесплатно. Денег никто не просит.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

30. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +1 +/
Сообщение от Аноним (30), 10-Сен-20, 15:55 
s/не просит/пока не просит/
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +/
Сообщение от Сейд (ok), 10-Сен-20, 17:40 
Кроме Let’s Encrypt есть ещё Buypass Go.
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в TLS, допускающая определение первичного ключа д..."  –1 +/
Сообщение от Аноним (1), 10-Сен-20, 17:31 
Тогда может сразу в клоудфларе влезть да табуретку шарпнуть
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

41. "Уязвимость в TLS, допускающая определение первичного ключа д..."  +/
Сообщение от Аноним (41), 10-Сен-20, 17:41 
Ты PKI с алгоритмами шифрования то не путай. В новости проблема у реализации шифрования, а не в PKI.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

43. "Уязвимость в TLS, допускающая определение первичного ключа д..."  –1 +/
Сообщение от Аноним (1), 10-Сен-20, 18:12 
Изучай и как работает и для чего нужен TLS. Это на компьютере можно сделать если что
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в TLS, допускающая определение ключа для соединен..."  –6 +/
Сообщение от Аноним (3), 10-Сен-20, 11:45 
> В Chrome поддержка DH была прекращена ещё в 2016 году
> Начиная с Firefox 78 проблемные шифры отключены.
> Firefox 78 Release Date: 2020-06-30

Фф как всегда отстает от хрома на годы.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +7 +/
Сообщение от КО (?), 10-Сен-20, 11:46 
Зато хрому в инновационых методах зондирования прыти не занимать
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Аноним (3), 10-Сен-20, 12:27 
Помимо телеметрии, в фф присутствует бэкдор, который зовется не бэкдором, а Studies. Такого себе даже гугл не позволял: идти и слепо скачивать какой-то запускаемый код, а потом втихаря выполнять его без спроса и ведома пользователя. Прайваси-фокусед бравзер, не иначе!
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в TLS, допускающая определение ключа для соединен..."  –2 +/
Сообщение от Аноним (10), 10-Сен-20, 12:37 
Ну что вы так волнуетесь. Это блобы кого надо блобы, не переживайте так. Сесурити на самом высоком уровне и мы пока даже не заметили подмены. А если заметили, то сделаем вид, что ничего не было, так что, поводов для беспокойства ровным счётом никаких нет.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +2 +/
Сообщение от хромог (?), 10-Сен-20, 12:45 
> Такого себе даже гугл не позволял

да, мы себе такого не позволяем, оформлять встроенный троянец так, чтоб его каждому было видно!
А то еще, чего доброго, и отключать научитесь, как это и вышло с фуфлофоксой.

А если бы у вас был мозг - то вы бы задумались, каким это интересным образом гугль "включил для части пользователей поддержку DoH", например.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

20. "Уязвимость в TLS, допускающая определение ключа для соединен..."  –6 +/
Сообщение от zzz (??), 10-Сен-20, 14:06 
Ага-ага, а software_reporter_tool, который отправляет на сервера гугла подозрительные файлы - наверное, мозиловцы подбросили. И эксперименты с хромом гугл проводит с помощью молитвы - никаких бинарей, что вы. И чего только существует проект ungoogled chromium, ведь в хромиуме нет никаких закладок.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

23. "Уязвимость в TLS, допускающая определение ключа для соединен..."  –4 +/
Сообщение от Аноним (3), 10-Сен-20, 14:40 
software_reporter_tool -- это что-то виндовое, да? https://source.chromium.org/chromium/chromium/src/+/master:c...

> эксперименты с хромом гугл проводит с помощью молитвы

Эксперименты проводятся при помощи явно напечатанного пользователем sudo dnf update. Но в этих ваших вендах любая софтина вынуждена переизобретать самоскачивание и самообновление.

> И чего только существует проект ungoogled chromium, ведь в хромиуме нет никаких закладок.

Хромиум: гугловая телеметрия.
Файрфокс: мозилловская телеметрия + дефолтный гугл + бэкдор "Studies" <------- Очевидный выбор любителей прайваси!

И чего только существуют бесчисленныЕ проектЫ типа github.com/intika/Librefox (проектЫ, во мн. ч.), че-то там "усиливающие прайваси" в файрфоксе? Ведь в фф нет никаких закладок.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в TLS, допускающая определение ключа для соединен..."  –5 +/
Сообщение от zzz (??), 10-Сен-20, 15:06 
>это что-то виндовое, да?

Это никак не отменяет наличие бэкдора.

>Очевидный выбор любителей прайваси!

Ты же себя пяткой бил в грудь, мол, "Такого себе даже гугл не позволял", забыл, пупсик?

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в TLS, допускающая определение ключа для соединен..."  –1 +/
Сообщение от Аноним (1), 10-Сен-20, 17:33 
А можно подробнее, ну там файл, номер строки если не затруднит.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

49. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Аноним (49), 10-Сен-20, 21:13 
> А можно подробнее, ну там файл, номер строки если не затруднит.

Просто очередной хромогуглобой, слышавший звон.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Total Anonimus (?), 10-Сен-20, 12:04 
Только сайты , сами "отставшие на годы" - в хроме не открываются ...
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Уязвимость в TLS, допускающая определение ключа для соединен..."  –2 +/
Сообщение от хромог (?), 10-Сен-20, 12:41 
Ну так "для того и брали!"

Ишь чего удумали, немодных устаревших небезопасТных котиков смотреть! Марш в факбук и ютупчик, там все безопастно, надежно, каждый ваш не то что клик, а случайное шевеление мышью записан и подшит к делу. БезопасТность высшего уровня!

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +1 +/
Сообщение от Аноним (47), 10-Сен-20, 19:19 
Хром наглый браузер. Произошла ошибка при закачке видео файла (докачка не поддерживалась), так он недокачанный файл удалил, хотя я еще диспетчер загрузок не почистил. Вот наглость. Может, я хотел посмотреть что там.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

42. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Аноним (41), 10-Сен-20, 17:44 
На дороге в АД? Пусть лучше отстаёт :-)
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

16. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +1 +/
Сообщение от Alexey (??), 10-Сен-20, 12:54 
Главное - придумать имя для уязвимости - TLShole, DHildo.
А там - заживём...
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Аноним (34), 10-Сен-20, 16:54 
TLSuction
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Аноним (36), 10-Сен-20, 17:23 
И логотип!
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

18. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +1 +/
Сообщение от Аноним (18), 10-Сен-20, 13:47 
>В OpenSSL уязвимости присвоен низкий уровень опасности, а исправление свелось к перемещению в выпуске 1.0.2w проблемных шифров "TLS_DH_*" в отключённую по умолчанию категорию шифров с недостаточным уровнем защиты

То есть вместо того, чтобы исправить проблему в старой надёжной криптографии на Z_p^*, заюзав constant time примитивы, или просто измерив время вычисления, и дополнив до нужного спинлоком, они просто отключили её, чтобы заставить всех купить новые ведрофоны, и попутно удовлетворить NSA насаждением эллиптики.

Запомните дети - каждый раз, когда вы решаете на чём-то сэкономить в безопасности, вы лишаетесь безопасности. Security through obscurity как она есть, гарантированную безопасность вам даст только любой из видов одноразового блокнота. Всё остальное - это попытки сэкономить (=считерить), и надеяться, что этим никто не сможет воспользоваться. Вон, Intel и прочие производители процессоров уже дочитерились. Более того, я уверен, что подозрения о возможностях использования этих микроархитектурных решений инженерами осознавались ещё на стадии идеи. Но тут выбор небольшой - либо ты портишь безопасность в угоду скорости, либо твои процессоры проигрывают конкурирующим и ты вылетаешь с рынка. Это если не нанять команду, для поиска уязвимостей в процессорах конкурентов и публикации статей о них в открытом доступе, после которых им придётся выпустить контрмеры, после которых их процессоры станут медленнее, чем если бы были сделаны правильно.

В large scale системах, экономия на одном запросе копеек, выльется в копеечную (в виде отношения к общей прибыли) прибавку к прибыли для корпорации, но некопеечную прибавку к зарплате для её менеджера, даже если только малую долю от этой прибавки выписать себе в премию. А на безопасность пользователей менеджерам плевать, своя премия ближе к телу.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +1 +/
Сообщение от Аноним (-), 10-Сен-20, 15:55 
> и попутно удовлетворить NSA насаждением эллиптики.

"NSA: Use our curves. They were selected *randomly*. Promise, wink wink."
https://vnhacker.blogspot.com/2020/09/a-history-of-elliptic-...
речь не о эллиптике вообще, а о анбшной эллиптике.
по эллиптике много прозрачных материалов тут и тут:
http://www.herongyang.com/EC-Cryptography/Group-Abelian-Grou...
https://eprint.iacr.org/2013/734.pdf (Cryptographic Sanity Check)
https://www.math.uchicago.edu/~may/REU2014/REUPapers/Parker.pdf
https://www.ams.org/journals/mcom/1987-48-177/S0025-5718-198...
p.s. в 40-е гб повторно использовало одноразовые блокноты (Venona files), и это не было проблемой блокнотов.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Аноним (-), 10-Сен-20, 18:52 
"However, secp256r1 uses the very suspicious seed "c49d360886e704936a6 678e1139d26b7819f7e90" which is strangely similar to the backdoor in Dual_EC_DRBG [18]" (A comparison between the secp256r1and the koblitz secp256k1 bitcoin curves)
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в TLS, допускающая определение ключа для соединен..."  –2 +/
Сообщение от Секрет (?), 10-Сен-20, 14:48 
Вот бородатым математика не сидится, аж до самых глубин истинности копают ... хоть отвлеклись, на один язык программирования меньше изобрели, и то славно.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +6 +/
Сообщение от Аноним (32), 10-Сен-20, 16:08 
Если б математикам сиделось спокойно, ты б до сих пор бересту царапал
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +1 +/
Сообщение от Аноним (48), 10-Сен-20, 21:13 
> Уязвимы только протоколы TLS до версии 1.2 включительно, протокол TLS 1.3 проблеме не подвержен

Ну вот, а кто-то возмущался что я на своих веб проектах поддерживаю только 1.3. Ещё и тут и сообщения трут.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Сейд (ok), 10-Сен-20, 22:19 
Я тоже для межсерверного сообщения включаю только TLS 1.3. Для клиентов (из-за старых версий Android), к сожалению, приходится оставлять TLS 1.2 и TLS 1.3.
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Ilya Indigo (ok), 13-Сен-20, 17:13 
> ...(из-за старых версий Android)...

А из-за актуальных Яндо-Гуглоботов, не?

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Сейд (ok), 13-Сен-20, 17:22 
Нет. Да и вряд ли они пользуются джаббером и почтой.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Demo (??), 11-Сен-20, 08:36 
> Ещё и тут и сообщения трут.

Вот, мою предыдущую мессагу потёрли.
Нужно скринить сообщения, потому что тут администрация бардак с кнопкой развела.
Товарищ или товарищи с синдромом вахтёра дорвались до кнопки.
Предполагаю, что товарищ ещё думает, что занимается чем-то полезным,
а его труды не ценят.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

58. "Уязвимость в TLS, допускающая определение ключа для соединен..."  +/
Сообщение от Gogi (??), 11-Сен-20, 17:16 
Всё зависит от того, ЧТО ты защищаешь. Если ты гадишь юзерам для защиты какого-нть форума, то гореть тебе в аду. А если там магазин какой, то опять же - драконовские меры имеют смысл ТОЛЬКО если ты "автоматом" позволяешь платить за заказ. Если ничего этого нет, то и защита твоя ни***я не стоит.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру