The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH"  +/
Сообщение от opennews (??), 10-Сен-20, 11:35 
Раскрыты сведения о новой уязвимости (CVE-2020-1968) в протоколе TLS, получившей кодовое имя...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53686

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 10-Сен-20, 11:35   –42 +/
Когда уже всем станет понятно что это не работает ! Галимотья сделанная для выкачивания бабла за авторизацию сертификатов непонятно у кого. В реальной жизни вы бы им и уборки унитазов не доверили.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #17, #19, #41

2. Сообщение от Аноним (2), 10-Сен-20, 11:44   +7 +/
Предлагай альтернативу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #7, #8, #27

3. Сообщение от Аноним (3), 10-Сен-20, 11:45   –6 +/
> В Chrome поддержка DH была прекращена ещё в 2016 году
> Начиная с Firefox 78 проблемные шифры отключены.
> Firefox 78 Release Date: 2020-06-30

Фф как всегда отстает от хрома на годы.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #42

4. Сообщение от КО (?), 10-Сен-20, 11:45   –2 +/
Игнор
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от КО (?), 10-Сен-20, 11:46   +7 +/
Зато хрому в инновационых методах зондирования прыти не занимать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9

6. Сообщение от Total Anonimus (?), 10-Сен-20, 12:04   +/
Только сайты , сами "отставшие на годы" - в хроме не открываются ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #13, #47

7. Сообщение от YetAnotherOnanym (ok), 10-Сен-20, 12:07   +10 +/
<troll>Обмен ключами заранее на личной встрече</troll>
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #25

8. Сообщение от Брат Анон (?), 10-Сен-20, 12:21   +1 +/
1) Обмен ключами шифрования только при личной встрече
2) Работа через специфический симулятор
3) Динамическая генерация ключей от сессии к сессии
4) Побочный канал для убедиться, что сессия не перехвачена по контрольному слову.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #10, #63

9. Сообщение от Аноним (3), 10-Сен-20, 12:27   +/
Помимо телеметрии, в фф присутствует бэкдор, который зовется не бэкдором, а Studies. Такого себе даже гугл не позволял: идти и слепо скачивать какой-то запускаемый код, а потом втихаря выполнять его без спроса и ведома пользователя. Прайваси-фокусед бравзер, не иначе!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11, #14, #20, #38

10. Сообщение от Аноним (10), 10-Сен-20, 12:31   +3 +/
Ты не понимаешь зачем это всё нужно. Это нужно, чтобы доступ к чужим данным был только у тех, кому положено его иметь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #55

11. Сообщение от Аноним (10), 10-Сен-20, 12:37   –2 +/
Ну что вы так волнуетесь. Это блобы кого надо блобы, не переживайте так. Сесурити на самом высоком уровне и мы пока даже не заметили подмены. А если заметили, то сделаем вид, что ничего не было, так что, поводов для беспокойства ровным счётом никаких нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

13. Сообщение от хромог (?), 10-Сен-20, 12:41   –2 +/
Ну так "для того и брали!"

Ишь чего удумали, немодных устаревших небезопасТных котиков смотреть! Марш в факбук и ютупчик, там все безопастно, надежно, каждый ваш не то что клик, а случайное шевеление мышью записан и подшит к делу. БезопасТность высшего уровня!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

14. Сообщение от хромог (?), 10-Сен-20, 12:45   +2 +/
> Такого себе даже гугл не позволял

да, мы себе такого не позволяем, оформлять встроенный троянец так, чтоб его каждому было видно!
А то еще, чего доброго, и отключать научитесь, как это и вышло с фуфлофоксой.

А если бы у вас был мозг - то вы бы задумались, каким это интересным образом гугль "включил для части пользователей поддержку DoH", например.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

16. Сообщение от Alexey (??), 10-Сен-20, 12:54   +1 +/
Главное - придумать имя для уязвимости - TLShole, DHildo.
А там - заживём...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #36

17. Сообщение от Gefest (?), 10-Сен-20, 13:13   +2 +/
Правильно. Сертификаты должно выдавать государство на безвозмездной основе, те даром. Разожрались гады.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #22, #28, #54

18. Сообщение от Аноним (18), 10-Сен-20, 13:47   +1 +/
>В OpenSSL уязвимости присвоен низкий уровень опасности, а исправление свелось к перемещению в выпуске 1.0.2w проблемных шифров "TLS_DH_*" в отключённую по умолчанию категорию шифров с недостаточным уровнем защиты

То есть вместо того, чтобы исправить проблему в старой надёжной криптографии на Z_p^*, заюзав constant time примитивы, или просто измерив время вычисления, и дополнив до нужного спинлоком, они просто отключили её, чтобы заставить всех купить новые ведрофоны, и попутно удовлетворить NSA насаждением эллиптики.

Запомните дети - каждый раз, когда вы решаете на чём-то сэкономить в безопасности, вы лишаетесь безопасности. Security through obscurity как она есть, гарантированную безопасность вам даст только любой из видов одноразового блокнота. Всё остальное - это попытки сэкономить (=считерить), и надеяться, что этим никто не сможет воспользоваться. Вон, Intel и прочие производители процессоров уже дочитерились. Более того, я уверен, что подозрения о возможностях использования этих микроархитектурных решений инженерами осознавались ещё на стадии идеи. Но тут выбор небольшой - либо ты портишь безопасность в угоду скорости, либо твои процессоры проигрывают конкурирующим и ты вылетаешь с рынка. Это если не нанять команду, для поиска уязвимостей в процессорах конкурентов и публикации статей о них в открытом доступе, после которых им придётся выпустить контрмеры, после которых их процессоры станут медленнее, чем если бы были сделаны правильно.

В large scale системах, экономия на одном запросе копеек, выльется в копеечную (в виде отношения к общей прибыли) прибавку к прибыли для корпорации, но некопеечную прибавку к зарплате для её менеджера, даже если только малую долю от этой прибавки выписать себе в премию. А на безопасность пользователей менеджерам плевать, своя премия ближе к телу.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

19. Сообщение от Аноним (19), 10-Сен-20, 13:55   +1 +/
Если не нужен престиж, то юзай Let's Encrtypt бесплатно. Денег никто не просит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #30, #37

20. Сообщение от zzz (??), 10-Сен-20, 14:06   –6 +/
Ага-ага, а software_reporter_tool, который отправляет на сервера гугла подозрительные файлы - наверное, мозиловцы подбросили. И эксперименты с хромом гугл проводит с помощью молитвы - никаких бинарей, что вы. И чего только существует проект ungoogled chromium, ведь в хромиуме нет никаких закладок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #23

22. Сообщение от Sarcastic scutosaurus (?), 10-Сен-20, 14:38   +4 +/
> Сертификаты должно выдавать государство на безвозмездной основе, те даром.

Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #31, #35, #56

23. Сообщение от Аноним (3), 10-Сен-20, 14:40   –4 +/
software_reporter_tool -- это что-то виндовое, да? https://source.chromium.org/chromium/chromium/src/+/master:c...

> эксперименты с хромом гугл проводит с помощью молитвы

Эксперименты проводятся при помощи явно напечатанного пользователем sudo dnf update. Но в этих ваших вендах любая софтина вынуждена переизобретать самоскачивание и самообновление.

> И чего только существует проект ungoogled chromium, ведь в хромиуме нет никаких закладок.

Хромиум: гугловая телеметрия.
Файрфокс: мозилловская телеметрия + дефолтный гугл + бэкдор "Studies" <------- Очевидный выбор любителей прайваси!

И чего только существуют бесчисленныЕ проектЫ типа github.com/intika/Librefox (проектЫ, во мн. ч.), че-то там "усиливающие прайваси" в файрфоксе? Ведь в фф нет никаких закладок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #26

24. Сообщение от Секрет (?), 10-Сен-20, 14:48   –2 +/
Вот бородатым математика не сидится, аж до самых глубин истинности копают ... хоть отвлеклись, на один язык программирования меньше изобрели, и то славно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

25. Сообщение от Иисус (?), 10-Сен-20, 14:55   +3 +/
Ну да, винца не забудь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #45

26. Сообщение от zzz (??), 10-Сен-20, 15:06   –5 +/
>это что-то виндовое, да?

Это никак не отменяет наличие бэкдора.

>Очевидный выбор любителей прайваси!

Ты же себя пяткой бил в грудь, мол, "Такого себе даже гугл не позволял", забыл, пупсик?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от Сейд (ok), 10-Сен-20, 15:16   +1 +/
DANE
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #33

28. Сообщение от Аноним (28), 10-Сен-20, 15:17   +1 +/
По паспорту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

29. Сообщение от Аноним (-), 10-Сен-20, 15:55   +1 +/
> и попутно удовлетворить NSA насаждением эллиптики.

"NSA: Use our curves. They were selected *randomly*. Promise, wink wink."
https://vnhacker.blogspot.com/2020/09/a-history-of-elliptic-...
речь не о эллиптике вообще, а о анбшной эллиптике.
по эллиптике много прозрачных материалов тут и тут:
http://www.herongyang.com/EC-Cryptography/Group-Abelian-Grou...
https://eprint.iacr.org/2013/734.pdf (Cryptographic Sanity Check)
https://www.math.uchicago.edu/~may/REU2014/REUPapers/Parker.pdf
https://www.ams.org/journals/mcom/1987-48-177/S0025-5718-198...
p.s. в 40-е гб повторно использовало одноразовые блокноты (Venona files), и это не было проблемой блокнотов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #44

30. Сообщение от Аноним (30), 10-Сен-20, 15:55   +1 +/
s/не просит/пока не просит/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #40

31. Сообщение от Gefest (?), 10-Сен-20, 15:58   +/
это неплохо :если ключ официально у тов майора, значит  все что нехорошее случилось - это тов майорова провокация ..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

32. Сообщение от Аноним (32), 10-Сен-20, 16:08   +6 +/
Если б математикам сиделось спокойно, ты б до сих пор бересту царапал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

33. Сообщение от Аноним (33), 10-Сен-20, 16:51   –1 +/
да не!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

34. Сообщение от Аноним (34), 10-Сен-20, 16:54   +/
TLSuction
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

35. Сообщение от Аноним (35), 10-Сен-20, 17:20   +1 +/
Сбер так и делает.

А нет, не так. Он генерит, но ничего тебе не выдаёт.
Просто от твоего имени создаст ключи, подпишет ими документы для пенсионного фонда.
Заверит тебя что это для твоего же блага - "Нет, нет. Мы не подделываем Вашу подпись. Это просто чтоб Вам не ходит и самому все не подписывать."

Непонятно почему фонд доверяет ключам сгенерированным сбером. Или сбер уже удостоверяющим центром стал?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #60

36. Сообщение от Аноним (36), 10-Сен-20, 17:23   +/
И логотип!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

37. Сообщение от Аноним (1), 10-Сен-20, 17:31   –1 +/
Тогда может сразу в клоудфларе влезть да табуретку шарпнуть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

38. Сообщение от Аноним (1), 10-Сен-20, 17:33   –1 +/
А можно подробнее, ну там файл, номер строки если не затруднит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #49

40. Сообщение от Сейд (ok), 10-Сен-20, 17:40   +/
Кроме Let’s Encrypt есть ещё Buypass Go.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

41. Сообщение от Аноним (41), 10-Сен-20, 17:41   +/
Ты PKI с алгоритмами шифрования то не путай. В новости проблема у реализации шифрования, а не в PKI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #43

42. Сообщение от Аноним (41), 10-Сен-20, 17:44   +/
На дороге в АД? Пусть лучше отстаёт :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

43. Сообщение от Аноним (1), 10-Сен-20, 18:12   –1 +/
Изучай и как работает и для чего нужен TLS. Это на компьютере можно сделать если что
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

44. Сообщение от Аноним (-), 10-Сен-20, 18:52   +/
"However, secp256r1 uses the very suspicious seed "c49d360886e704936a6 678e1139d26b7819f7e90" which is strangely similar to the backdoor in Dual_EC_DRBG [18]" (A comparison between the secp256r1and the koblitz secp256k1 bitcoin curves)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

45. Сообщение от Онаним (?), 10-Сен-20, 18:53   +4 +/
Чая же. С новичком.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

47. Сообщение от Аноним (47), 10-Сен-20, 19:19   +1 +/
Хром наглый браузер. Произошла ошибка при закачке видео файла (докачка не поддерживалась), так он недокачанный файл удалил, хотя я еще диспетчер загрузок не почистил. Вот наглость. Может, я хотел посмотреть что там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

48. Сообщение от Аноним (48), 10-Сен-20, 21:13   +1 +/
> Уязвимы только протоколы TLS до версии 1.2 включительно, протокол TLS 1.3 проблеме не подвержен

Ну вот, а кто-то возмущался что я на своих веб проектах поддерживаю только 1.3. Ещё и тут и сообщения трут.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52, #53, #58

49. Сообщение от Аноним (49), 10-Сен-20, 21:13   +/
> А можно подробнее, ну там файл, номер строки если не затруднит.

Просто очередной хромогуглобой, слышавший звон.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

52. Сообщение от Сейд (ok), 10-Сен-20, 22:19   +/
Я тоже для межсерверного сообщения включаю только TLS 1.3. Для клиентов (из-за старых версий Android), к сожалению, приходится оставлять TLS 1.2 и TLS 1.3.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #61

53. Сообщение от Demo (??), 11-Сен-20, 08:36   +/
> Ещё и тут и сообщения трут.

Вот, мою предыдущую мессагу потёрли.
Нужно скринить сообщения, потому что тут администрация бардак с кнопкой развела.
Товарищ или товарищи с синдромом вахтёра дорвались до кнопки.
Предполагаю, что товарищ ещё думает, что занимается чем-то полезным,
а его труды не ценят.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

54. Сообщение от Сейд (ok), 11-Сен-20, 09:42   +/
И доменные имена.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

55. Сообщение от Аноним (55), 11-Сен-20, 12:58   +1 +/
Без судебного решения не положено!!!

http://kremlin.ru/acts/constitution/item#chapter2

Статья 23

1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #57

56. Сообщение от Аноним (55), 11-Сен-20, 13:01   +/
> Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ.

https://www.opennet.ru/openforum/vsluhforumID10/5512.html

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

57. Сообщение от Аноним (10), 11-Сен-20, 13:19   +2 +/
Ну да, это смешно, но как есть. Нигде и никогда за всё хорошее против всего плохого не будет работать как задекларировано. Это всё пустые декламации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #59

58. Сообщение от Gogi (??), 11-Сен-20, 17:16   +/
Всё зависит от того, ЧТО ты защищаешь. Если ты гадишь юзерам для защиты какого-нть форума, то гореть тебе в аду. А если там магазин какой, то опять же - драконовские меры имеют смысл ТОЛЬКО если ты "автоматом" позволяешь платить за заказ. Если ничего этого нет, то и защита твоя ни***я не стоит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

59. Сообщение от Всем Анонимам Аноним (?), 12-Сен-20, 15:05   +1 +/
Ну надо сказать, что нигде не написано "не раздать всю страну своим друзьям, чтобы доили". Значит можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

60. Сообщение от Всем Анонимам Аноним (?), 12-Сен-20, 15:07   +/
Банки нередко используются для аутентификации личности, надо сказать. Не знаю хорошо это или плохо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

61. Сообщение от Ilya Indigo (ok), 13-Сен-20, 17:13   +/
> ...(из-за старых версий Android)...

А из-за актуальных Яндо-Гуглоботов, не?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #62

62. Сообщение от Сейд (ok), 13-Сен-20, 17:22   +/
Нет. Да и вряд ли они пользуются джаббером и почтой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

63. Сообщение от Аноним (63), 15-Сен-20, 00:03   +/
ФИДО 2.0
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #64

64. Сообщение от Брат Анон (?), 17-Сен-20, 14:34   +/
> ФИДО 2.0

Уважаемый, вы так это написали, как-будто в этом есть что-то плохое.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру