The party must go on!

По ходу наши основательно принялись за OpenSSL

На третий день Зоркий Глаз заметил...

Потому и в Talks. ;) Чую пятой точкой, найдут ещё и не один WebHeartbleed2.0.

Так Тео уже нашёл, в OpenSSH, только никому не расскажет.

Do not feed RSA private key information to the random subsystem as entropy

Да ладно?!

Дык, ёлы-палы!

А вообще очень грустно. Ещё раз убеждаюсь, что SSL в текущей реализации абсолютное зло.

Все на него дро…т. CA, которых мульёны, делают деньги из воздуха, а на проверку всё это оказывается курсовой работой птушника. :(

всё это оказывается курсовой работой птушника

В крайности тоже впадать не стоит. Если это правда, то выглядит дико, но использовать это в реальной атаке вообще не представляется возможным. ГПСЧ должен быть уж совсем дубовым, чтобы из него можно было получить то, что в него запихнули.

что SSL в текущей реализации абсолютное зло.

В этой фразе можно заменить SSL на любой другой акроним, а выражение не утратит актуальности.

Утртрую конечно. Но IIRC на «правильности» ГСЧ строится чуть ли не вся крипрография. И к какой аттаке это ещё может привести никому не известно.

В любом случае ре-использование СЧ (введение их обратно в оборот) уже большой фейспалм.

Но IIRC на «правильности» ГСЧ строится чуть ли не вся крипрография

Private key уж точно не ухудшит энтропию. Думаю, Тео волновала возможность утечки.

В самой системе SSL меня больше бесит другое. А именно вся система CA и тот факт, что self-signed de-facto объявленны вне закона.

В тоже время CA никто толком не контролирует (их тыщи) и любой может выдать любой сертификат. Что уже уму не постижимо. Нет никакой енкапсуляции. И всё это стоит диких денег.

Банальный пример. У меня сайт + мыло на разных суб-доменах. (E.g. http://www.site.org и mail.site.org, imap.site.org, smtp.site.org …) Если я хочу их за-SSL-ить мне нужен или wildcard или с пол-десятка сертификатов. И первый и второй подход — тыщи нефти.

Так почему я не могу получить cert на site.org и быть его CA на субдомены? А не могу, потому что SSL is broken.

Криптография должна быть бесплатной и анархичной. Толко так она может победить. Текущая ситуация с CA — это тупик эволюции.

Вообще-то наоборот, если меня все духи ещё не покинули.

Соль в том, что тот же private получен из ГСЧ. И введение его обратно в систему (в виде seed'а, энтропии и т.д.) — это повторное использование СЧ, что есть большое «НЕ-НЕ!!!» в криптографии.

В самой системе SSL меня больше бесит другое. А именно вся система CA

Насколько мне известно, это разные, слабо связанные вещи. Ведь даже с децентрализованной системой сети доверия шифрование будет делаться через SSL.

И первый и второй подход — тыщи нефти.

Надо же где-то деньги брать на Ubuntu, электромобили и космические ракеты.

Криптография должна быть бесплатной и анархичной. Только так она может победить.

Круто конечно, но в конце концов всё решает бабло. А людям с баблом почему-то хочется централизованного контроля. Наверное, они к этому привыкли.

ГПСЧ должен быть уж совсем дубовым, чтобы из него можно было получить то, что в него запихнули.

Эту ссылку я уже несколько раз приводил: http://youtu.be/IuSnY_O8DqQ — там есть описание аттаки, если ГПСЧ работает не так, как ожидалось. В частности просто уменьшение сложности полного перебора на порядки.

Sad, but true.

По поводу другого: SSL тесно связан с CA. Т.ч. тут я не совсем согласен.

Абсолютно поддерживаю! Причем практика показала, что к самоаодписанным сертификатам доверия больше.

P.S. Когда ж они на DVCS перейдут уже!?

практика показала, что к самоаодписанным сертификатам доверия больше

Ну да, MITM рулит...

Как будто CA - гарантия предотвращения MITM.

Если серт не пролюблен, то гарантирует или по крайней мере это усложняет реализацию mitm

Для правительства можно MITM и с CAшным сертом устроить, делов то.

ГПСЧ должен быть уж совсем дубовым, чтобы из него можно было получить то, что в него запихнули.

Вот и эксперты по криптографии в треде нарисовались.

Для правительства можно все. А вот, построить защиту от какого-нибудь «кулхацкера» Васи Форточкина, все же стоит

Вот и эксперты по криптографии в треде нарисовались.

Всегда готов откликнуться на зов эксперта по экспертам.

с пол-десятка сертификатов.

И первый и второй подход — тыщи нефти.

Я не в курсе, баг это или фича, но мне удавалось получить халявные сертификаты от startssl для двух разных поддоменов одного сайта. Анархии это не добавило, но халява — тоже ок.

тыщи нефти

wildcard

Не настолько уж.

self-signed de-facto объявленны вне закона.

Нет, просто о том, чтобы твой корневой сертификат оказался на машинах пользователей, заботишься ты сам. И я слабо представляю, как вообще организовывать web of trust между случайными посетителями сайта и его владельцем (разве что по образцу биткойнов/неймкойнов, но целевая аудитория вряд ли готова к этому).

Тут сделали некий твиттер с новостями: http://opensslrampage.org/

Спасибо, интересно.

Тут сделали некий твиттер с новостями: http://opensslrampage.org/

Гангста-рэп в коммит логе (?) зверски доставляет.

практика показала, что к самоаодписанным сертификатам доверия больше

Ну да, MITM рулит...

man certificate pinning

И я слабо представляю, как вообще организовывать web of trust между случайными посетителями сайта и его владельцем (разве что по образцу биткойнов/неймкойнов, но целевая аудитория вряд ли готова к этому).

уже есть что-то подобное: http://www.cacert.org/

я все слова отдельно понял, а что значит фраза не уверен что понял правильно. если не лень обьясните немного шире

Так почему я не могу получить cert на site.org и быть его CA на субдомены? А не могу, потому что SSL is broken.

он действительно так не может или дело в бабле?

уже есть что-то подобное: http://www.cacert.org/

Q. Suppose 3 persons go through the trouble of being assured with 150 points. Is there anything that prevents them from certifying 3 times ( 105 points ) other 25 non-existent names, who also certify amongst themselves to reach 150 points and so on ?

A. Unfortunately No.

Нуфф всё сказал. Эта система хуже, чем обычные CA.

подожди, еще свн в очереди есть

пролюблен

чего?

Я не в курсе, баг это или фича, но мне удавалось получить халявные сертификаты от startssl для двух разных поддоменов одного сайта. Анархии это не добавило, но халява — тоже ок.

кстати да. тоже слышал о таком. и даже хотел гуглить (дабы перепроверить) когда читал исходное сообщение

не «Нуфф сказал», а «сказано достаточно», образовано от «enough said»

да, но их главный церт все равно как-то должен попасть на комп.. а значит все эта затея приравнивается к собственным церт’ам. поправьте если не прав

кстати домен к которому сертификат для чего используется?

Да, не может. Субординации нет как класса. Любой CA может выдать любой cert. Разделения на зоны действия и подклассов нет.

накинулись на бедную опенэсеселочку аки зверюги, если такие умные, сами бы раньше написали что-нибудь получше

Круто конечно, но в конце концов всё решает бабло. А людям с баблом почему-то хочется централизованного контроля. Наверное, они к этому привыкли.

эти люди не хотят ни за что отвечать (так же как и эксплуататоры ытырпрайза например). со типикал: мы вам за генерирование стойкого сертификата заплатили, так что в случае чего вина будет на вас. в итоге конечно как всегда получается что никто не виноват и оно само. из плюсов разве что CA пометит сертификат как отозванный и весь софт что верифицирует сертификаты начнет грязно ругаться.

Малонужный веб-сайт плюс корпоративное мыло. Второй — в интранете, там немного самописных веб-морд к местному софту, не обязателен, но слегка успокаивает паранойю.

Кстати, да. Ограничение, если я правильно понял матчасть — второй сертификат включает только второй поддомен и его нельзя использовать на одном IP с первым.

а как же тогда это The party must go on! (комментарий)

Малонужный веб-сайт плюс корпоративное мыло

емнип оно только для nonprofitable по ихнему licence agreement..

Во-первых, оно государственное, следовательно nonprofitable. Во-вторых, левел1 не включает никаких сведений об организации и предназначен для частных лиц (что не запрещает его использовать и в организациях, но владельцем сертификата будет частное лицо).

немного шире

Генератор псевдослучайных чисел кормится случайными событиями (вроде клики мышки считаются случайными, полного списка не знаю). Их мало, так что вывод из /dev/random очень медленный. Убранный в патче код при некоторых условиях записывал часть закрытого ключа обратно в пул. То есть мало того что библиотека допускала незапрошенные утечки в сторонний код, так ещё и портила системный генератор псевдослучайных чисел, подмешивая ему в кормушку совсем не случайные данные.

Сомневаюсь, что это можно использовать для атаки, но всё же так делать не стоило.

эти люди не хотят ни за что отвечать

так что в случае чего вина будет на вас

Во-во, в самую точку. Они покупают ответственность, перекладывают риски на других агентов. По факту никто ни за что не отвечает, но все счастливы.

подмешивая ему в кормушку совсем не случайные данные

тоесть возвращая то что было сгенерено перед этим. я правильно понял?

То есть мало того что библиотека допускала незапрошенные утечки в сторонний код

вот это еще поподробнее разжуйте плз :)

ну так я за 8 лет в телекоме насмотрелся всякого.

то есть возвращая то что было сгенерено в «прошлый» раз. я правильно понял?

Да.

вот это еше поподробнее разжуйте плз

От функции openssl, которая шифрует данные, ожидается, что она принимает на вход ключ и сообщение и выдаёт зашифрованное сообщение. И всё. Если некто узнаёт, что функция эта записывает ключ без его ведома ещё куда-то, он приходит в состояние глубокой задумчивости. А можно ли ей вообще доверять?

понял

То есть мало того что библиотека допускала незапрошенные утечки в сторонний код

утечки в сторонний код

вот это меня запутало. никогда бы не додумался (поздно, голова уже не варит) что Вы имели ввиду.

спс