The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

09.12.2016 11:05  Надёжность OpenVPN будет проверена в ходе аудита

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, сообщил об успешном ходе сбора средств для оплаты проведения полного независимого аудита механизмов шифрования, применяемых в пакете OpenVPN (за две недели собрано 34 тысячи долларов из запланированных 71 тысячи). Начало работы намечено на январь 2017 года. Работа будет выполнена французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt и находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки.

Кроме того, стало известно об ещё одной инициативе проведения аудита OpenVPN, инициированной группой VPN-провайдеров. Проверка затронет ветку OpenVPN 2.4, которая пока находится на стадии тестирования кандидата в релизы. Координацией проведения аудита займётся Мэттью Грин (Matthew Green), инициатор аудита TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe, Dual_EC_DRBG, Speedpass и EZpass.

Попытки организации совместной работы группы VPN-провайдеров и OSTIF пока не увенчались успехом. Аудит OSTIF подразумевает организацию закрытого взаимодействия между авторами и проверяющими, для предотвращения досрочных утечек сведений о выявленных в процессе аудита проблемах и оперативного исправления ошибок по мере их выявления. Со своей стороны, группа VPN-провайдеров заверила пользователей, что вначале результаты проверки будут направлены разработчикам OpenVPN, и только после исправления выявленных ошибок, отчёт о выполненном аудите будет представлен публично. Кроме того, вопросы вызывает ангажированность проверяющих - ожидается что аудит от группы VPN-провайдеров будет выполнен специалистами NCC Group Cryptography Services, в то время как некоторые разработчики OpenVPN работают в компании FoxIT, которая является подразделением NCC Group.

  1. Главная ссылка к новости (https://ostif.org/openvpn-audi...)
  2. OpenNews: Аудит VeraCrypt выявил 8 критических уязвимостей
  3. OpenNews: Спецслужбы Германии опубликовали результаты аудита OpenSSL
  4. OpenNews: Увидел свет OpenVPN 2.3.0
  5. OpenNews: Опасная уязвимость в реализациях LZO/LZ4, затрагивающая ядро Linux, FFmpeg, OpenVPN и другие проекты
  6. OpenNews: Представлен Sweet32, новый вид атаки на HTTPS и OpenVPN
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: openvpn, audit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:37, 09/12/2016 [ответить] [смотреть все]
  • –1 +/
    Аудил L2TP и IPSec уже проводили? Как оно?
     
     
  • 2.2, Andrew, 11:56, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    Чистый L2TP - дырка, такая же, как и PPTP вектор и стоимость атаки- идентичны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, йцукен, 16:04, 09/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Стоит отметить, что IPsec с PSK трудно отнести к надёжным Только сертификаты К... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 14:57, 10/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Уметь-то умеют, вот только ipsec без vti - это боль
     
  • 2.39, Аноним, 01:25, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Никак Первое никогда и не позиционировалось как что-то надежное, второе слишком... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, A, 12:09, 09/12/2016 [ответить] [смотреть все]  
  • +1 +/
    Как будто французу невозможно сделать предложение, от которого он не сможет отказаться, пока он на конференции в Сан-Франциско себя тяпкой в грудь бьет.
     
     
  • 2.5, 1, 12:21, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Француза придется покупать, а своему можно приказать
     
     
  • 3.8, Меломан1, 12:45, 09/12/2016 [^] [ответить] [смотреть все]  
  • –7 +/
    Разве в России принуждают использовать шпионское ПО Сейчас можно загреметь на в... весь текст скрыт [показать]
     
     
  • 4.10, Andrey Mitrofanov, 12:57, 09/12/2016 [^] [ответить] [смотреть все]  
  • +9 +/
    >использовать шпионское ПО? Сейчас можно загреметь на всю катушку за это

    Посадки за Майкросоувт уже были, я пропустил?!

     
  • 4.13, Аноним, 13:47, 09/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Дались вам эти SPARCи Пусть лучше с TSMC договариваются о переносе части произв... весь текст скрыт [показать]
     
     
  • 5.15, Меломан1, 14:20, 09/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Не возможно 90 серверных мощностей мирового бизнеса задействовано на этой архи... весь текст скрыт [показать]
     
     
  • 6.36, cmp, 14:19, 10/12/2016 [^] [ответить] [смотреть все]  
  • +/
    90 вау, а где у нас 2 последних спарка переехали на помойку пару лет назад, щ... весь текст скрыт [показать]
     
  • 6.41, Аноним, 01:29, 12/12/2016 [^] [ответить] [смотреть все]  
  • +/
    столица переезжает в Нью-Васюки ... весь текст скрыт [показать]
     
  • 4.40, Аноним, 01:27, 12/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    В духе этого правительства было бы запретить ввоз в РФ процессоров и обязать пок... весь текст скрыт [показать]
     
  • 1.6, Аноним, 12:30, 09/12/2016 [ответить] [смотреть все]  
  • –3 +/
    Как будто у лягушатников нет своих КГБ.
     
  • 1.7, manster, 12:34, 09/12/2016 [ответить] [смотреть все]  
  • –1 +/
    Если исходить из статистики количества уязвимостей и дыр на проект, то явно такие проекты как adobe flash (хоть и не открытый), openssl, всякие библиотеки для xml, регулярок и другие, нуждаются в независимом аудите в первую очередь.
     
  • 1.19, Аноним, 14:44, 09/12/2016 [ответить] [смотреть все]  
  • –1 +/
    Интересно - ГОСТ-овскую сборку проверяли Не думаю, что французы чего найдут ... весь текст скрыт [показать]
     
     
  • 2.22, manster, 15:23, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Надо Причем в обязательном порядке, публично и независимо, иначе получается что... весь текст скрыт [показать] [показать ветку]
     
  • 2.33, Аноним, 22:42, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    OpenVPN идет под лицензией GPLv2 Что-то я на их сайте не увидел модифицированны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Elhana, 01:11, 10/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Купите, должны дать исходники вместе с покупкой А на сайте они выкладывать не о... весь текст скрыт [показать]
     
     
  • 4.35, Аноним, 12:14, 10/12/2016 [^] [ответить] [смотреть все]  
  • +/
    На сайте можно скачать демо-версию, в которой есть только бинарники Так что тут... весь текст скрыт [показать]
     
  • 2.42, Аноним, 01:30, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Одно только название этого пакета намекает что его использование для, собственно... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Анонимум, 14:59, 09/12/2016 [ответить] [смотреть все]  
  • –4 +/
    А чего его аудитить-то Если верить кулхацкерам из соседней темы, то он расшифро... весь текст скрыт [показать]
     
     
  • 2.23, Аноним, 15:51, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    А кулхацкеры твои диванные - они кто?
     
     
  • 3.28, Andrey Mitrofanov, 16:52, 09/12/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Такие же, как оно само, флудорасы, истончённые до полного истирания иронизаторы,... весь текст скрыт [показать]
     
  • 2.43, Аноним, 01:33, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В дефолтной конфиге зачастую так и есть Если mitm может стать клиентом - у него... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, VPN Power, 19:41, 09/12/2016 [ответить] [смотреть все]  
  • +7 +/
    Вот вам ништяки - наслаждайтесь.

    https://shadowsocks.org/en/index.html

    https://habrahabr.ru/post/208782/

    https://www.softether.org/

    https://www.opennet.ru/opennews/art.shtml?num=43633

     
  • 1.32, Нанобот, 19:55, 09/12/2016 [ответить] [смотреть все]  
  • –1 +/
    Ниочём. Вот как проверят, тогда и пишите новость.
     
  • 1.38, Аноним, 00:20, 12/12/2016 [ответить] [смотреть все]  
  • –1 +/
    Не нравится мне эта новость, вспомните, чем в итоге закончилась проверка Truecry... весь текст скрыт [показать]
     
  • 1.44, лютый жабист___, 08:37, 12/12/2016 [ответить] [смотреть все]  
  • +/
    Одноразовые шифрблокноты никто не победит. 8) Интересно, почему нет во всех дистрибах такого софта?
     
     
  • 2.45, лютый жабист___, 08:39, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Т е максимально деревянный туннель, ты сам генеришь энтропию на source, на диск... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Аноним, 17:40, 10/03/2017 [^] [ответить] [смотреть все]  
  • +/
    несколько гигов одноразовых блокнотов пожатых архиватором хватит для защищенного... весь текст скрыт [показать]
     
  • 1.46, Аноним, 17:38, 10/03/2017 [ответить] [смотреть все]  
  • +/
    Интересно, чем дело кончилось?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor