Может ли реализация ГОСТ шифрования быть подвержена heartbleed?

Heartbleed уязвимости, heartbleed уязвимость повсюду!

Это не ошибка протокола в целом, это ошибка конкретной реализации протокола, в данном случае openssl. Так что все хорошо.

это ошибка конкретной реализации протокола, в данном случае openssl.

Вот мне и нужно потестировать конкретную реализацию :) Если вспомнить, что КриптоПро помимо собственной реализации пилили openssl, заимствование кода или идей вполне могло быть.

Это не ошибка протокола в целом

Вот как раз тут у меня пробел в образовании. ГОСТ каким-либо образом соотносится с протоколом TLS ?

ГОСТ каким-либо образом соотносится с протоколом TLS ?

Модуль поддержки сетевой аутентификации КриптоПро TLS, входящий в состав СКЗИ КриптоПро CSP, реализует протокол Transport Layer Security (TLS v. 1.0, RFC 2246), с использованием российских криптографических стандартов.

ортогонально ему

Высший класс паранойи это когда сам себя запугиваешь

Гост это шифр, более поздняя стадия. TLS это протокол установления соединения пришедший на замену SSL. Если у Вас используется openssl уязвимых версий с включенным hearbeat то этот баг у Вас есть. Т.е. атакующий может воровать у Вас содержимое оперативной памяти. Даст ли это что-то в случае использования гост сертификата или нет я не могу сказать.

Попробуйте тестером на SSL Labs проверить.

Heartbeat только в TLS 1.2 вроде ввели. Так что выдыхай.

А высший класс кретинизма - прятать голову в песок как страус

Если там вообще своя реализация TLS, а не скопированная из openssl, то не подвержен.

Ты просто завидуешь, что у тебя бетон вместо песка и головка - бобо.

суть в том что погроммисты криптопро моглуи навтыкать сотню таких же уязвимостей как в openssl и про ник наш параноик нихрена не узнает, даже если его ломанут, ибо проприетарщина - малая распространенность.

Вроди бы пять звёзд, а вопросы школьные.

Ты так говоришь, будто все окружающие - эксперты по современной криптографии. И вообще, первый раз пятизвёздочного дурака видишь ? %)

В openssl все усугубляется еще тем что они навелосипедили свой malloc/free якобы для скорости, и если бы они пользовались системным был бы просто segfault.

Но в целом да невозможно со 100% вероятностью сказать что в криптопро нет аналогичной дыры, возможно это даже не дыра а сертифицированная фича для вскрытия защиты если возникает необходимость.

Расслабься, это просто тролль. Он не понимает разницы между паранойей и ответственностью за свои сервисы.

В openssl все усугубляется еще тем что они навелосипедили свой malloc/free якобы для скорости, и если бы они пользовались системным был бы просто segfault.

Судя по стилю написания сорцов openssl, лучшеб они программированию учились.

Напомни, в каких opensource проектах ты участвуешь как разработчик?

На опенсорсном лоре я довожу глупцов до белого каления, прими холодный душ.

Так и запишем - сам ничего не делает, но думает что разбирается в работе других. Добавил метку

это хорошо, иначе как тебе убогому одмину самоутверждаться перед разработчиком?

Что эта тема делает в разделе Games?

У человека своеобразное чувство юмора.

Кормит белку. В толксах жрать уже нечего.

Да, может. А собственно, какая разница, какой ciphersuite используется? Использование heartBeat не зависит от выбранного шифра.

Беспокойство? Сертифицировано ведь и обновления не нужны по идее.

о так есть сканер?

где взять?

Может ли в принципе в нём быть уязвимость heartbleed

может конечно.

Если может, чем бы его потестировать?

для начал узнай используемые версии ПО, потом гугли и читай списки.

Несвязанные вещи, атака не на шифр, а на программную реализацию протокола в OpenSSL (пример: как слабые параметры шифра и переполнение буффера)

Сабж. Есть веб-сервер с реализацией ГОСТ шифрования. Существующие сканеры heartbleed говорят - «not supported cipher».

Если там КриптоПрошная реализация Госта в opennssl - то НЕТ - там в базе использовалась версия в которой heartbleed быть не может - не та версия протокола.

На самом деле уже отправлен официальный запрос в техподдержку и получен ответ - нет, не подвержена.