The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

09.12.2016 11:05  Надёжность OpenVPN будет проверена в ходе аудита

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, сообщил об успешном ходе сбора средств для оплаты проведения полного независимого аудита механизмов шифрования, применяемых в пакете OpenVPN (за две недели собрано 34 тысячи долларов из запланированных 71 тысячи). Начало работы намечено на январь 2017 года. Работа будет выполнена французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt и находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки.

Кроме того, стало известно об ещё одной инициативе проведения аудита OpenVPN, инициированной группой VPN-провайдеров. Проверка затронет ветку OpenVPN 2.4, которая пока находится на стадии тестирования кандидата в релизы. Координацией проведения аудита займётся Мэттью Грин (Matthew Green), инициатор аудита TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe, Dual_EC_DRBG, Speedpass и EZpass.

Попытки организации совместной работы группы VPN-провайдеров и OSTIF пока не увенчались успехом. Аудит OSTIF подразумевает организацию закрытого взаимодействия между авторами и проверяющими, для предотвращения досрочных утечек сведений о выявленных в процессе аудита проблемах и оперативного исправления ошибок по мере их выявления. Со своей стороны, группа VPN-провайдеров заверила пользователей, что вначале результаты проверки будут направлены разработчикам OpenVPN, и только после исправления выявленных ошибок, отчёт о выполненном аудите будет представлен публично. Кроме того, вопросы вызывает ангажированность проверяющих - ожидается что аудит от группы VPN-провайдеров будет выполнен специалистами NCC Group Cryptography Services, в то время как некоторые разработчики OpenVPN работают в компании FoxIT, которая является подразделением NCC Group.

  1. Главная ссылка к новости (https://ostif.org/openvpn-audi...)
  2. OpenNews: Аудит VeraCrypt выявил 8 критических уязвимостей
  3. OpenNews: Спецслужбы Германии опубликовали результаты аудита OpenSSL
  4. OpenNews: Увидел свет OpenVPN 2.3.0
  5. OpenNews: Опасная уязвимость в реализациях LZO/LZ4, затрагивающая ядро Linux, FFmpeg, OpenVPN и другие проекты
  6. OpenNews: Представлен Sweet32, новый вид атаки на HTTPS и OpenVPN
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: openvpn, audit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:37, 09/12/2016 [ответить] [смотреть все]    [к модератору]
  • –1 +/
    Аудил L2TP и IPSec уже проводили? Как оно?
     
     
  • 2.2, Andrew, 11:56, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +3 +/
    Чистый L2TP - дырка, такая же, как и PPTP вектор и стоимость атаки- идентичны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, йцукен, 16:04, 09/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Стоит отметить, что IPsec с PSK трудно отнести к надёжным Только сертификаты К... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 14:57, 10/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Уметь-то умеют, вот только ipsec без vti - это боль
     
  • 2.39, Аноним, 01:25, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Никак Первое никогда и не позиционировалось как что-то надежное, второе слишком... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, A, 12:09, 09/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Как будто французу невозможно сделать предложение, от которого он не сможет отказаться, пока он на конференции в Сан-Франциско себя тяпкой в грудь бьет.
     
     
  • 2.5, 1, 12:21, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –2 +/
    Француза придется покупать, а своему можно приказать
     
     
  • 3.8, Меломан1, 12:45, 09/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –7 +/
    Разве в России принуждают использовать шпионское ПО Сейчас можно загреметь на в... весь текст скрыт [показать]
     
     
  • 4.10, Andrey Mitrofanov, 12:57, 09/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    >использовать шпионское ПО? Сейчас можно загреметь на всю катушку за это

    Посадки за Майкросоувт уже были, я пропустил?!

     
  • 4.13, Аноним, 13:47, 09/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Дались вам эти SPARCи Пусть лучше с TSMC договариваются о переносе части произв... весь текст скрыт [показать]
     
     
  • 5.15, Меломан1, 14:20, 09/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Не возможно 90 серверных мощностей мирового бизнеса задействовано на этой архи... весь текст скрыт [показать]
     
     
  • 6.36, cmp, 14:19, 10/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    90 вау, а где у нас 2 последних спарка переехали на помойку пару лет назад, щ... весь текст скрыт [показать]
     
  • 6.41, Аноним, 01:29, 12/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    столица переезжает в Нью-Васюки ... весь текст скрыт [показать]
     
  • 4.40, Аноним, 01:27, 12/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    В духе этого правительства было бы запретить ввоз в РФ процессоров и обязать пок... весь текст скрыт [показать]
     
  • 1.6, Аноним, 12:30, 09/12/2016 [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    Как будто у лягушатников нет своих КГБ.
     
  • 1.7, manster, 12:34, 09/12/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Если исходить из статистики количества уязвимостей и дыр на проект, то явно такие проекты как adobe flash (хоть и не открытый), openssl, всякие библиотеки для xml, регулярок и другие, нуждаются в независимом аудите в первую очередь.
     
  • 1.19, Аноним, 14:44, 09/12/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Интересно - ГОСТ-овскую сборку проверяли Не думаю, что французы чего найдут ... весь текст скрыт [показать]
     
     
  • 2.22, manster, 15:23, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Надо Причем в обязательном порядке, публично и независимо, иначе получается что... весь текст скрыт [показать] [показать ветку]
     
  • 2.33, Аноним, 22:42, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    OpenVPN идет под лицензией GPLv2 Что-то я на их сайте не увидел модифицированны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Elhana, 01:11, 10/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Купите, должны дать исходники вместе с покупкой А на сайте они выкладывать не о... весь текст скрыт [показать]
     
     
  • 4.35, Аноним, 12:14, 10/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На сайте можно скачать демо-версию, в которой есть только бинарники Так что тут... весь текст скрыт [показать]
     
  • 2.42, Аноним, 01:30, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Одно только название этого пакета намекает что его использование для, собственно... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Анонимум, 14:59, 09/12/2016 [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    А чего его аудитить-то Если верить кулхацкерам из соседней темы, то он расшифро... весь текст скрыт [показать]
     
     
  • 2.23, Аноним, 15:51, 09/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +4 +/
    А кулхацкеры твои диванные - они кто?
     
     
  • 3.28, Andrey Mitrofanov, 16:52, 09/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Такие же, как оно само, флудорасы, истончённые до полного истирания иронизаторы,... весь текст скрыт [показать]
     
  • 2.43, Аноним, 01:33, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В дефолтной конфиге зачастую так и есть Если mitm может стать клиентом - у него... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, VPN Power, 19:41, 09/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    Вот вам ништяки - наслаждайтесь.

    https://shadowsocks.org/en/index.html

    https://habrahabr.ru/post/208782/

    https://www.softether.org/

    https://www.opennet.ru/opennews/art.shtml?num=43633

     
  • 1.32, Нанобот, 19:55, 09/12/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ниочём. Вот как проверят, тогда и пишите новость.
     
  • 1.38, Аноним, 00:20, 12/12/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Не нравится мне эта новость, вспомните, чем в итоге закончилась проверка Truecry... весь текст скрыт [показать]
     
  • 1.44, лютый жабист___, 08:37, 12/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Одноразовые шифрблокноты никто не победит. 8) Интересно, почему нет во всех дистрибах такого софта?
     
     
  • 2.45, лютый жабист___, 08:39, 12/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Т е максимально деревянный туннель, ты сам генеришь энтропию на source, на диск... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Аноним, 17:40, 10/03/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    несколько гигов одноразовых блокнотов пожатых архиватором хватит для защищенного... весь текст скрыт [показать]
     
  • 1.46, Аноним, 17:38, 10/03/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Интересно, чем дело кончилось?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor