The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Google опубликовал библиотеку для выявления проблемных криптографических ключей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google опубликовал библиотеку для выявления проблемных криптографических ключей"  +/
Сообщение от opennews (ok), 26-Авг-22, 09:36 
Участники Google Security Team опубликовали  открытую библиотеку Paranoid, предназначенную для выявления ненадёжных криптографических артефактов, таких как открытые ключи и цифровые подписи, созданных в уязвимых аппаратных (HSM) и программных системах. Код написан на языке Python и распространяется под лицензией Apache 2.0...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57679

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от dullish (ok), 26-Авг-22, 09:36   +2 +/
Со встроенной телеметрией и отправкой "обезличенных фрагментов" разработчикам, надеюсь?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #4, #6

2. Сообщение от anonymous (??), 26-Авг-22, 09:38   +1 +/
ты же можешь объяснить, почему это плохо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 26-Авг-22, 09:46   +3 +/
Хоть кто-то пишет полезный софт.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #15

4. Сообщение от Жироватт (ok), 26-Авг-22, 09:48   +2 +/
Зачем так грубо-то?
Вся содержательная работа в версии 2 будет идти на серверах гугла, остальное - лишь подготовка и обслуживание пакета из хттпс (это важно!) запросов и парсинге json (это самое важное!) с ответом. Пользователи сами все сольют, и не только "обезличенную информацию", причем с песней!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

5. Сообщение от Жироватт (ok), 26-Авг-22, 09:52   +1 +/
В чем полезность?
Нет, кроме шуток, в чем полезность, если реальные проблемы с т.н. "криптоартефактами" будут скрывать по просьбе незаметного человечка из комнаты 101А.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8

6. Сообщение от пох. (?), 26-Авг-22, 09:55   +2 +/
> Со встроенной телеметрией и отправкой "обезличенных фрагментов" разработчикам, надеюсь?

Зачем это обезличенных? Вон же - "ваш сертификат не сертификат, так решил наш софт а он лучше вас знает, с этой минуты ваш сайт сосайт и у юзера не откроется", и "направлено для отзыва". Мнение владельца сертификата никого ведь не интересует.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от Аноним (3), 26-Авг-22, 10:03   +3 +/
Это не менее реальные проблемы, о которых любители сферического дебиана могут и не знать. Чем больше проблем, тем более широкий круг лиц может их использовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Бывалый смузихлёб (?), 26-Авг-22, 10:21   +2 +/
>  Информация об остающихся в обиходе проблемных сертификатах направлена удостоверяющим центрам для их отзыва

Самое примечательно как всегда в конце. Почти как в той песне про День Выборов

Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (14), 26-Авг-22, 10:44   –1 +/
> Google опубликовал библиотеку для выявления проблемных криптографических ключей

проблемных с точки зрения гугла

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

15. Сообщение от Аноним (15), 26-Авг-22, 13:25   +2 +/
> Информация ... об ... сертификатах направлена удостоверяющим центрам для их отзыва.

Теперь гугл решает, какой сертификат - правильный... Прям Министерство Правды ("1984").

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #16

16. Сообщение от вакцина (?), 26-Авг-22, 14:23   –2 +/
Нет, в этом контексте он не решает, а предлагает всем желающим самим проверять свои сертификаты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #25

17. Сообщение от Аноним (17), 26-Авг-22, 14:56   +/
Выявление осуществляется путём отправки ключей на серверы гугла и дальнейшего анализа
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

18. Сообщение от Аноним (18), 26-Авг-22, 15:14   +1 +/
>Google Security Team
>открытую библиотеку Paranoid
>для выявления ненадёжных
>таких как открытые ключи и цифровые подписи
>Информация об остающихся в обиходе проблемных сертификатах
>направлена удостоверяющим центрам для их отзыва

Google Security
библиотеку Paranoid
>для выявления
>открытые ключи
>цифровые подписи
>Информация... об проблемных сертификатах
>направлена... центрам для их отзыва
>Google
>Paranoid

Оо-о-оКе-е-ей!

Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Аноним (29), 26-Авг-22, 15:25   –1 +/
В очередной раз Гугл за день делает для безопасности интернета больше, чем все комментаторы опеннета за год.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #23, #33, #40

20. Сообщение от anonymous (??), 26-Авг-22, 15:37   +/
И что? Ключи общедоступны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #22

21. Сообщение от Аноним (15), 26-Авг-22, 15:49   +2 +/
> Информация о проблемных сертификатах направлена центрам для их отзыва

А потом у неугодного сайта - херак! - и не станет сертификата.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #24, #27, #30

22. Сообщение от Аноним (15), 26-Авг-22, 15:51   –1 +/
Ты путаешь "открытый" и "общедоступный". Ещё часто путают "открытый" и "свободный".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #26

23. Сообщение от Аноним (24), 26-Авг-22, 15:51   +/
За это гуглу деньги и платят. А опеннетчики сидят тут бесплатно. Некоторые за 15 рублей коммент. Некоторые за 7031 рубль за выложенную новость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #28, #34

24. Сообщение от Аноним (24), 26-Авг-22, 15:52   +2 +/
Если решить проблему жесткой рукой в конце концов эта рука начнет всех душить.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Аноним (15), 26-Авг-22, 15:53   +4 +/
Он не предлагает, а действует:

> Информация об сертификатах направлена удостоверяющим центрам для их отзыва.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

26. Сообщение от anonymous (??), 26-Авг-22, 16:01   +/
>> Public-key cryptography, or asymmetric cryptography, is a cryptographic system that uses pairs of keys. Each pair consists of a public key (which may be known to others) and a private key (which may not be known by anyone except the owner).

https://en.wikipedia.org/wiki/Public-key_cryptography

Что тут перепутано? Ключи мэйнтейнеров и прочих разработчиков опубликованы. В том же Арче регулярно удаляются и добавляются фингерпринты ключей. https://archlinux.org/master-keys/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #35

27. Сообщение от Гугель (?), 26-Авг-22, 17:07   +/
Ну вот, безопастно же ж сделали вам!

Нет сайта - нет опастностей! Ходите на google.com - он безопастный.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (15), 26-Авг-22, 17:22   +1 +/
А, точно, местный растаман как раз на своём канале рассказывал, что его творчество про раст вознаграждается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

29. Сообщение от Аноним (29), 26-Авг-22, 17:56   –2 +/
У Гугла, судя по твоему комменту, какая-то своя волшебная криптография, несовместимая с твоей?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #36

30. Сообщение от Аноним (29), 26-Авг-22, 17:58   –1 +/
Ага. Гугл отключит математику у неугодного сайта и сессионный ключ невозможно будет посчитать. Ох уж этот Гугл! Такие затейники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

33. Сообщение от Мимокрокодилъ (?), 26-Авг-22, 23:29   +/
> В очередной раз Гугл за день делает для безопасности интернета больше, чем
> все комментаторы опеннета за год.

Очередной день рандомному анону из опеннета не дают покоя рандомные же комментарии на опеннете.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

34. Сообщение от Аноним (34), 27-Авг-22, 02:56   +/
Аноним неплохо зарабатывает, надо бы его замотивировать делиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

35. Сообщение от Аноним (3), 27-Авг-22, 05:28   –2 +/
May это возможно (а может и нет), may not это жёстко нет (но может и утечь и тогда тоже возможно). Если публичный ключ подразумевался для использования ограниченным кругом лиц, то в данном случае он тоже утекает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

36. Сообщение от bOOster (ok), 27-Авг-22, 08:30   +/
Причем тут криптография? Сами сертификаты, их содержимое, их хранилища, центры сертификации и т.д. весьма косвенное отношение к криптографии как таковой имеют.
Сертификаты - набор OID-ов - которые администратор может в целом сам создавать и включать в сертификат, и наверняка гугл их будет браковать - мол несоответствующие "Нашим" стандартам...  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #37

37. Сообщение от Аноним (29), 27-Авг-22, 21:38   +/
Ну всё забраковал уже, даже не одну тысячу. Дальше-то что? Публичные УЦ вроде Let's Encrypt тебе лично ничего не должны и даже не обещали, впрочем как и Гуглу. Не нравятся чьи-то правила — не пользуйся. УЦ как грязи, сертификаты с любыми прибамбасами стоят копейки. Рынок сертификатов перенасыщен уже лет десять, если не пятнадцать. В конце концов, подними свой PKI как большинство в итоге делает. Но тебе ж просто побубнить на опеннете про то, какой Гугл плохой, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #38

38. Сообщение от bOOster (ok), 28-Авг-22, 09:43   +/
> Ну всё забраковал уже, даже не одну тысячу. Дальше-то что? Публичные УЦ
> вроде Let's Encrypt тебе лично ничего не должны и даже не
> обещали, впрочем как и Гуглу. Не нравятся чьи-то правила — не
> пользуйся. УЦ как грязи, сертификаты с любыми прибамбасами стоят копейки. Рынок
> сертификатов перенасыщен уже лет десять, если не пятнадцать. В конце концов,
> подними свой PKI как большинство в итоге делает. Но тебе ж
> просто побубнить на опеннете про то, какой Гугл плохой, да?

Че за чушь ты пишешь? Тебе сообщение назад написали что именно такие сертификаты как выпущенные своим PKI и будет блочить гугл, об этом и разговор..
Смотришь в книгу видишь фигу?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от Аноним (39), 30-Авг-22, 12:29   +/
>Bleichenbacher, Daniel

Тот самый.

Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Аноним (40), 01-Сен-22, 19:11   +/
> В очередной раз Гугл за день делает для безопасности интернета больше, чем все комментаторы опеннета за год.

Да, одной строкой на баше могу сделать для корректности ключей больше чем гугл за год.

Держите генератор рандома для криптухи, без зондов rng-time.sh:


#!/bin/bash
# Free for not commercial usage.
# Свободна для некомерческого использования, комерческое использование может быть разрешено только c письменного согласия.
while [ True == True ]
  do
    echo `date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%s` |openssl dgst -sha512 -binary
  done

На основе системного времени с наносекундным разрешением строем число от 0 до 77 цифр - вероятность повторения 1/10^77 с которой берем хеш (можно SHA512 сменить на другой) с вероятностью повторения 1/16^64 - которая и есть показателем надёжности нашего генератора псевдослучайных чисел (prng).

Установив  пакет rng-tools c програмой rngtest можно протестировать или просеять полученный рандом согласно FIPS-140-2:


rng-time.sh |dd of=random_urandom iflag=fullblock bs=1250w count=100000 status=progress
dd if=random_time status=none |rngtest

для сравнения смотрим стандартный:

dd if=/dev/urandom of=random_urandom bs=1250w count=100000 status=progress
dd if=random_urandom status=none |rngtest

и улучшенный стандартный:

dd if=/dev/urandom status=none |rngtest --pipe |dd of=random_urandom bs=1250w count=100000 status=progress
dd if=random_urandom status=none |rngtest

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #41

41. Сообщение от Аноним (41), 01-Сен-22, 19:32   +/
У кого есть свободный комп с помощью rng-time.sh можно проверить и разные хеши:


#!/bin/bash
# Free for not commercial usage.
# Свободна для некомерческого использования, комерческое использование может быть разрешено только c письменного согласия.
while [ True == True ]
  do
    echo `date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%s` |openssl dgst -binary $1
  done

BLAKE2B
SHA512
SHA3-512
STRIBOG512
WHIRLPOOL


rng-time.sh -sha512 |dd of=random_SHA512 iflag=fullblock bs=1250w count=100000 status=progress
dd if=random_SHA512 status=none |rngtest
rng-time.sh -whirlpool |dd of=random_WHIRLPOOL iflag=fullblock bs=1250w count=100000 status=progress
dd if=random_WHIRLPOOL status=none |rngtest

Вот прикол будет если у какогото хеша будет слабый рандом ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #42, #45

42. Сообщение от Аноним (42), 01-Сен-22, 20:12   +/
Fix.

#!/bin/bash
# Free for not commercial usage.
# Свободна для некомерческого использования, комерческое использование может быть разрешено только c письменного согласия.
while [ True == True ]
  do
    echo `date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N` |openssl dgst -binary $1
  done
[/code
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #43

43. Сообщение от Аноним (43), 01-Сен-22, 20:47   +/
Чуть ошибся в оценке. Чтобы выжимать возможный максимум энтропии с хеша надо:
1. Создавать число от 1 до 154 цифры, вероятность повторения - 1/10^154
2, Получаемый псевдорандомный ряд будет как 1/16^128

9 цифр - date +%N - надо 6 раз
5 цифр - $((RANDOM %`date +%s`)) - надо 20 раз
9*6+5*20=154
Кто будет игратся поправте prng-time.sh

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #44

44. Сообщение от Аноним (44), 03-Сен-22, 17:52   +/
А если просто:
  date +%-N%s
Получим и скорость и уникальную числовую последовательность, если не учитывать возможную коррекцию системного времени и теоретическое совпадение чисел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

45. Сообщение от Аноним (45), 10-Июн-23, 13:01   +/
> Вот прикол будет если у какогото хеша будет слабый рандом ;)

Статистическое исследование энтропии из контрольных сум: https://www.opennet.ru/openforum/vsluhforumID10/5638.html

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру