The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

09.12.2016 11:05  Надёжность OpenVPN будет проверена в ходе аудита

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, сообщил об успешном ходе сбора средств для оплаты проведения полного независимого аудита механизмов шифрования, применяемых в пакете OpenVPN (за две недели собрано 34 тысячи долларов из запланированных 71 тысячи). Начало работы намечено на январь 2017 года. Работа будет выполнена французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt и находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки.

Кроме того, стало известно об ещё одной инициативе проведения аудита OpenVPN, инициированной группой VPN-провайдеров. Проверка затронет ветку OpenVPN 2.4, которая пока находится на стадии тестирования кандидата в релизы. Координацией проведения аудита займётся Мэттью Грин (Matthew Green), инициатор аудита TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe, Dual_EC_DRBG, Speedpass и EZpass.

Попытки организации совместной работы группы VPN-провайдеров и OSTIF пока не увенчались успехом. Аудит OSTIF подразумевает организацию закрытого взаимодействия между авторами и проверяющими, для предотвращения досрочных утечек сведений о выявленных в процессе аудита проблемах и оперативного исправления ошибок по мере их выявления. Со своей стороны, группа VPN-провайдеров заверила пользователей, что вначале результаты проверки будут направлены разработчикам OpenVPN, и только после исправления выявленных ошибок, отчёт о выполненном аудите будет представлен публично. Кроме того, вопросы вызывает ангажированность проверяющих - ожидается что аудит от группы VPN-провайдеров будет выполнен специалистами NCC Group Cryptography Services, в то время как некоторые разработчики OpenVPN работают в компании FoxIT, которая является подразделением NCC Group.

  1. Главная ссылка к новости (https://ostif.org/openvpn-audi...)
  2. OpenNews: Аудит VeraCrypt выявил 8 критических уязвимостей
  3. OpenNews: Спецслужбы Германии опубликовали результаты аудита OpenSSL
  4. OpenNews: Увидел свет OpenVPN 2.3.0
  5. OpenNews: Опасная уязвимость в реализациях LZO/LZ4, затрагивающая ядро Linux, FFmpeg, OpenVPN и другие проекты
  6. OpenNews: Представлен Sweet32, новый вид атаки на HTTPS и OpenVPN
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: openvpn, audit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 11:37, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Аудил L2TP и IPSec уже проводили? Как оно?
     
     
  • 2.2, Andrew (??), 11:56, 09/12/2016 [^] [ответить]     [к модератору]
  • +3 +/
    Чистый L2TP - дырка, такая же, как и PPTP вектор и стоимость атаки- идентичны... весь текст скрыт [показать]
     
     
  • 3.24, йцукен (??), 16:04, 09/12/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Стоит отметить, что IPsec с PSK трудно отнести к надёжным Только сертификаты К... весь текст скрыт [показать]
     
     
  • 4.37, Аноним (-), 14:57, 10/12/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Уметь-то умеют, вот только ipsec без vti - это боль
     
  • 2.39, Аноним (-), 01:25, 12/12/2016 [^] [ответить]     [к модератору]  
  • +/
    Никак Первое никогда и не позиционировалось как что-то надежное, второе слишком... весь текст скрыт [показать]
     
  • 1.4, A (?), 12:09, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Как будто французу невозможно сделать предложение, от которого он не сможет отказаться, пока он на конференции в Сан-Франциско себя тяпкой в грудь бьет.
     
     
  • 2.5, 1 (??), 12:21, 09/12/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Француза придется покупать, а своему можно приказать
     
     
  • 3.8, Меломан1 (?), 12:45, 09/12/2016 [^] [ответить]     [к модератору]  
  • –7 +/
    Разве в России принуждают использовать шпионское ПО Сейчас можно загреметь на в... весь текст скрыт [показать]
     
     
  • 4.10, Andrey Mitrofanov (?), 12:57, 09/12/2016 [^] [ответить]    [к модератору]  
  • +9 +/
    >использовать шпионское ПО? Сейчас можно загреметь на всю катушку за это

    Посадки за Майкросоувт уже были, я пропустил?!

     
  • 4.13, Аноним (-), 13:47, 09/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Дались вам эти SPARCи. Пусть лучше с TSMC договариваются о переносе части производства, чтом Эльбрусы, Байкалы и КОМДИВы-64 выпекать.
     
     
  • 5.15, Меломан1 (?), 14:20, 09/12/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Не возможно 90 серверных мощностей мирового бизнеса задействовано на этой архи... весь текст скрыт [показать]
     
     
  • 6.36, cmp (ok), 14:19, 10/12/2016 [^] [ответить]    [к модератору]  
  • +/
    90%? вау, а где? у нас 2 последних спарка переехали на помойку пару лет назад, щас все на виртуализации, ит рубят целыми подразделениями.
     
  • 6.41, Аноним (-), 01:29, 12/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > 90% серверных мощностей мирового бизнеса задействовано на этой архитектуре.

    ...столица переезжает в Нью-Васюки.

     
  • 4.40, Аноним (-), 01:27, 12/12/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    В духе этого правительства было бы запретить ввоз в РФ процессоров и обязать пок... весь текст скрыт [показать]
     
  • 1.6, Аноним (-), 12:30, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Как будто у лягушатников нет своих КГБ.
     
  • 1.7, manster (ok), 12:34, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Если исходить из статистики количества уязвимостей и дыр на проект, то явно такие проекты как adobe flash (хоть и не открытый), openssl, всякие библиотеки для xml, регулярок и другие, нуждаются в независимом аудите в первую очередь.
     
  • 1.19, Аноним (-), 14:44, 09/12/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Интересно - ГОСТ-овскую сборку проверяли Не думаю, что французы чего найдут ... весь текст скрыт [показать]
     
     
  • 2.22, manster (ok), 15:23, 09/12/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Надо Причем в обязательном порядке, публично и независимо, иначе получается что... весь текст скрыт [показать]
     
  • 2.33, Аноним (-), 22:42, 09/12/2016 [^] [ответить]    [к модератору]  
  • +/
    OpenVPN идет под лицензией GPLv2. Что-то я на их сайте не увидел модифицированных исходников. Сперли код и стригут бабло.
     
     
  • 3.34, Elhana (ok), 01:11, 10/12/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Купите, должны дать исходники вместе с покупкой. А на сайте они выкладывать не обязаны.
     
     
  • 4.35, Аноним (-), 12:14, 10/12/2016 [^] [ответить]    [к модератору]  
  • +/
    На сайте можно скачать демо-версию, в которой есть только бинарники. Так что тут явное нарущение GPL.
     
  • 2.42, Аноним (-), 01:30, 12/12/2016 [^] [ответить]    [к модератору]  
  • +/
    > СКЗИ "МагПро КриптоПакет" в. 2.1 в комплектации "МагПро OpenVPN-ГОСТ"

    Одно только название этого пакета намекает что его использование для, собственно, защиты информации - заявка на залет.

     
  • 1.20, Анонимум (?), 14:59, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    А чего его аудитить-то? Если верить кулхацкерам из соседней темы, то он расшифровывается в МИТМе на ура.
     
     
  • 2.23, Аноним (-), 15:51, 09/12/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    А кулхацкеры твои диванные - они кто?
     
     
  • 3.28, Andrey Mitrofanov (?), 16:52, 09/12/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Такие же, как оно само, флудорасы, истончённые до полного истирания иронизаторы,... весь текст скрыт [показать]
     
  • 2.43, Аноним (-), 01:33, 12/12/2016 [^] [ответить]     [к модератору]  
  • +/
    В дефолтной конфиге зачастую так и есть Если mitm может стать клиентом - у него... весь текст скрыт [показать]
     
  • 1.31, VPN Power (?), 19:41, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    Вот вам ништяки - наслаждайтесь.

    https://shadowsocks.org/en/index.html

    https://habrahabr.ru/post/208782/

    https://www.softether.org/

    https://www.opennet.ru/opennews/art.shtml?num=43633

     
  • 1.32, Нанобот (ok), 19:55, 09/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ниочём. Вот как проверят, тогда и пишите новость.
     
  • 1.38, Аноним (-), 00:20, 12/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Не нравится мне эта новость, вспомните, чем в итоге закончилась проверка Truecrypt-a.
     
  • 1.44, лютый жабист___ (?), 08:37, 12/12/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Одноразовые шифрблокноты никто не победит. 8) Интересно, почему нет во всех дистрибах такого софта?
     
     
  • 2.45, лютый жабист___ (?), 08:39, 12/12/2016 [^] [ответить]    [к модератору]  
  • +/
    Т.е. максимально деревянный туннель, ты сам генеришь энтропию на source, на дискетке, обернутой фольгой везёшь на destination и вуаля!
     
     
  • 3.47, Аноним (-), 17:40, 10/03/2017 [^] [ответить]    [к модератору]  
  • +/
    несколько гигов одноразовых блокнотов пожатых архиватором хватит для защищенного месседжера на всю жизнь. Но почему то этой функцией не пользуется ни кто.
     
  • 1.46, Аноним (-), 17:38, 10/03/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно, чем дело кончилось?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor