Open SSL to format szyfrowania danych stosowany w systemach opartych o jądro Linux, który stosowany jest między innymi w protokole SSH, VPN oraz w całej gamie różnych programów (np. klientach poczty elektronicznej) oraz na stronach internetowych. Okazuje się, że przez błąd programistów Debiana jeszcze z maja 2006 roku, bezpieczeństwo milionów użytkowników było (i nadal jest) zagrożone. Standardowo 128-bitowy klucz generowany przez OpenSSL może być jedną z 3.4*10^38 (2^128) kombinacji, której złamanie brutalnym atakiem jest praktycznie niemożliwe. Niestety przez błąd programu badającego kod źródłowy tego generatora, klucze wygenerowane przez OpenSSL miały tylko 32768 (2^15) kombinacji co znacznie ułatwia odnalezienie prawidłowej kombinacji. Błąd spowodował program Valgrind, który powinien skanować kod w poszukiwaniu furtek umożliwiających złamanie zabezpieczenia, a zrobił to poprzez zastąpienie bufora o losowej zawartości odpowiedzialnego za generacje klucza, ciągiem samych zer. W zamyśle programistów losowa zawartość bufora, na którą wpływ mają ruchy myszki czy nawet mikrodrgania talerzy dysku twardego pozwalała na generowanie losowego klucza, a program uznał to za błąd.
W ten sposób zagrożeni są głównie użytkownicy systemu Debian i opartego o niego Ubuntu, a także kilku innych dystrybucji. Co więcej naprawa takiego błędu nie jest prosta, bo trzeba wszystkie klucze wygenerować powtórnie, a nie jest to taka prosta sprawa gdy mówimy być może nawet o kilku milionach kluczy. Specjaliści od zabezpieczeń zastanawiają się nawet czy nie było to celowe działanie jakiejś grupy osób, która omawiany błąd chciałaby wykorzystać do włamań i podglądania transmisji innych użytkowników sieci. Obecnie trwają prace nad poprawą implementacji OpenSSL w zagrożonych dystrybucjach.
naprawa takiego błędu nie jest prosta, bo trzeba wszystkie klucze wygenerować powtórnie, a nie jest to taka prosta sprawa gdy mówimy być może nawet o kilku milionach kluczy
no ale nie piszą, że ta liczba to liczba kluczy w skali światowej....
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Możesz ściągać załączniki na tym forum
FAQ
Szukaj
Użytkownicy
Grupy
Statystyki
Rejestracja
Zaloguj
Album
Download
