Уязвимости в OpenSSL
Добрый день!
Наверное, все слышали, что викиликс публикует секретные документы США, защищенные OpenSSL. В частности, файл "wlinsurance-20130815-A.aes256". Я понимаю, что не один такой, очень интересно что внутри. Находились ли в последнее время уязвимости в реализации OpenSSL, при помощи которых можно произвести дешифрование? К примеру, неправильный генератор псевдослучайных чисел.
Ссылки
[link1] http://www.pgpru.com/novosti/2007/nestojjkostjvgpschwindowspozvoljaetbystrovskryvatjkljuchiisslsoedinenija
[link2] http://www.pgpru.com/novosti/2008/predskazuemyjjgschinebezopasnyekljuchivdebianubuntu
[link3] http://www.pgpru.com/comment64744
[link4] http://www.wired.com/threatlevel/2013/07/snowden-dead-mans-switch/
[link5] https://www.schneier.com/blog/archives/2013/07/snowdens_dead_m.html
[link6] http://forums.d2jsp.org/topic.php?t=51082453&f=119
Не знаю, насколько последнее, но на слуху эти новости:
/Новости/2007/НестойкостьВГПСЧWindowsПозволяетБыстроВскрыватьКлючиИSSL-соединения[link1]
/Новости/2008/ПредсказуемыйГСЧИНебезопасныеКлючиВDebianUbuntu[link2]
/comment64744[link3]
Вроде с тех пор ни о чём настолько фатальном для Linux RNG не было слышно.
Первый раз слышу. Эти документы зашифрованы что ли?
Помнится, во время противостояния Ассанжа и властей США сторона Викиликс утверждала о запуске протокола dead man's switch на случай, если с Ассанжем что-нибудь случится. Какой-то большой файл даже выкладывали в торренты. Но, возможно, это всё было блефом, а в файле — несколько гигов из /dev/urandom.
А если несколько гигов непожатого шифрованного /dev/zero, то будет ещё обиднее.
Не путаетесь ли вы в основных действующих[link4] лицах[link5]?Нет, не путаетесь, с Ассанджем было то же[link6]: