Уязвимости в OpenSSL

Добрый день!

Наверное, все слышали, что викиликс публикует секретные документы США, защищенные OpenSSL. В частности, файл "wlinsurance-20130815-A.aes256". Я понимаю, что не один такой, очень интересно что внутри. Находились ли в последнее время уязвимости в реализации OpenSSL, при помощи которых можно произвести дешифрование? К примеру, неправильный генератор псевдослучайных чисел.

Комментарии

— Гость (24/02/2014 14:14)

>Находились ли в последнее время уязвимости в реализации OpenSSL, при помощи которых можно произвести дешифрование?

Не знаю, насколько последнее, но на слуху эти новости:

/Новости/2007/НестойкостьВГПСЧWindowsПозволяетБыстроВскрыватьКлючиИSSL-соединения^[link1]
/Новости/2008/ПредсказуемыйГСЧИНебезопасныеКлючиВDebianUbuntu^[link2]
/comment64744^[link3]

Вроде с тех пор ни о чём настолько фатальном для Linux RNG не было слышно.

>Наверное, все слышали, что викиликс публикует секретные документы США, защищенные OpenSSL. В частности, файл "wlinsurance-20130815-A.aes256".

Первый раз слышу. Эти документы зашифрованы что ли?

— SATtva (26/02/2014 17:01)
Помнится, во время противостояния Ассанжа и властей США сторона Викиликс утверждала о запуске протокола dead man's switch на случай, если с Ассанжем что-нибудь случится. Какой-то большой файл даже выкладывали в торренты. Но, возможно, это всё было блефом, а в файле — несколько гигов из /dev/urandom.

— unknown (26/02/2014 17:50)

>в файле — несколько гигов из /dev/urandom.

А если несколько гигов непожатого шифрованного /dev/zero, то будет ещё обиднее.

— Гость (02/03/2014 06:37)

> во время противостояния Ассанжа и властей США сторона Викиликс утверждала о запуске протокола dead man's switch на случай, если с Ассанжем что-нибудь случится.

~~Не путаетесь ли вы в основных действующих^[link4] лицах^[link5]?~~ Нет, не путаетесь, с Ассанджем было то же^[link6]:

Julian Assange has set the ultimate dead man's switch: Arrest or kill him and thousands of files will be automatically released, including documents that out CIA-backed Arabs.

The Wikileaks leader had previously claimed to have files on auto-release. That he had info on CIA ties was first-mentioned in an interview yesterday with Al-Jazeera.

This is exactly the type of information that lead people to condemn Wikileaks as dangerous. If released it would certainly endanger many American operatives and cause a massive political disruption.

Ссылки

^[link1] http://www.pgpru.com/novosti/2007/nestojjkostjvgpschwindowspozvoljaetbystrovskryvatjkljuchiisslsoedinenija

^[link2] http://www.pgpru.com/novosti/2008/predskazuemyjjgschinebezopasnyekljuchivdebianubuntu

^[link3] http://www.pgpru.com/comment64744

^[link4] http://www.wired.com/threatlevel/2013/07/snowden-dead-mans-switch/

^[link5] https://www.schneier.com/blog/archives/2013/07/snowdens_dead_m.html

^[link6] http://forums.d2jsp.org/topic.php?t=51082453&f=119

openPGP в России

Уязвимости в OpenSSL