id: Гость   вход   регистрация
текущее время 10:56 19/03/2024
Владелец: SATtva (создано 15/10/2013 13:59), редакция от 15/10/2013 14:00 (автор: SATtva) Печать
Категории: криптография, софт, инфобезопасность, защита сети, алгоритмы, протоколы, стандарты, ssl
http://www.pgpru.com/Новости/2013/ОслабленнаяКриптографияВAndroidSSL
создать
просмотр
редакции
ссылки

15.10 // Ослабленная криптография в Android SSL


По словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться значительно более слабая комбинация из RC4 и MD5.


Причиной этого, судя по всему, является замена в версии 2.3 ранее используемого списка приоритетов алгоритмов из OpenSSL на стандартный список из Java 1.6, который не слишком менялся со времен Java 1.4.0 (2002 год). Уже в 2011 году в Java 7 криптография была значительно усилена, но Android по-прежнему сохраняет приверженность решениям десятилетней давности.


Вопрос, была ли причиной злонамеренность или просто некомпетентность, остается открытым.


Источник: BugTraq.ru


 
Несколько комментариев (7) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3