Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Предсказуемый ГСЧ и небезопасные ключи в Debian/Ubuntu 14.05.08 09:40 Число просмотров: 2107
Publisher: sattva Статус: Незарегистрированный пользователь
|
Предсказуемый ГСЧ и небезопасные ключи в Debian/Ubuntu Debian Security Letter http://lists.debian.org/debian-security-announce/2008/msg00152.html
Два года назад разработчики Debian "исправили" "ошибку" [ http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516 ] (как они считали) в пакете OpenSSL. Перечислять все сферы применения этого пакета, думаю, не стоит, ибо он используется повсеместно и, прежде всего, для выработки ключевого материала SSL, SSH и OpenVPN.
"Ошибка", которая была "исправлена", заключалась в использовании неинициализированной памяти. В большинстве случаев такое исправление было бы разумным, если бы не затрагивало пул и генератор случайных чисел (ГСЧ) OpenSSL. В итоге генератор был лишён возможности добавлять новую энтропию в пул, что делает крайне предсказуемыми все получаемые из него данные и, как следствие, генерируемые шифроключи. (Такой проблемы бы не произошло, поступи разработчики Debian, как дОлжно: вместо патченья пакета в собственном депозитарии, им следовало передать патч апстриму...
Полный текст
|
- Предсказуемый ГСЧ и небезопасные ключи в Debian/Ubuntu - sattva 14.05.08 09:40 [2107]
|
|
|