https://www.opennet.ru/openforum/vsluhforumID3/106677.html Немецкое Федеральное управление по информационной безопасности (бывший криптографический отдел Федеральной разведывательной службы Германии) опубликовало (https://www.bsi.bund.de/DE/Publikationen/Studien/OpenSSL-Bibliothek/opensslbibliothek.html) результаты аудита надёжности криптографических методов, реализованных в пакете OpenSSL. Основное внимание при проверке было уделено изучению возможных обходных путей проявления ранее найденных уязвимостей в алгоритмах шифрования, а также проверке соответствия результатов работы библиотеки заявленным в спецификации параметрам.<br><br><br>В итоге, в OpenSSL не было найдено серьёзных уязвимостей, но были выявлены некритичные недоработки, связанные с генератором псевдослучайных чисел (PRNG). В частности, указано на проблемы, касающиеся формирования и управления энтропией, которые проявляются при определённых настройках и флагах компиляции, использование которых приводит к непредвиденному эффекту, негативно сказывающемуся на качестве энтропии.<br><br><br><br>URL: http://www.heise.de/open/ https://www.opennet.ru/openforum/vsluhforumID3/106677.html#32 Sat, 13 Feb 2016 22:29:56 GMT &gt; Навешёл. Написано же!<br><br>)))<br> https://www.opennet.ru/openforum/vsluhforumID3/106677.html#31 Fri, 12 Feb 2016 00:16:32 GMT Гентушники с флагами оптимизации где вы?<br> https://www.opennet.ru/openforum/vsluhforumID3/106677.html#30 Thu, 11 Feb 2016 18:08:47 GMT О, вот и минусующие Прозреватели Истины подтянулись. <br>Ведь они точно знают, что "можешь сливать дезу^W^W считать до десяти - остановить на семи..." - для лохов! А вумный опеннетчик^W человек никогда не упустит возможность блеснуть своим интеллектом и осведомленность!<br> https://www.opennet.ru/openforum/vsluhforumID3/106677.html#29 Thu, 11 Feb 2016 16:07:12 GMT &gt;&gt; фрицы в жопе. :) <br>&gt; Это не новость <br><br>Да пофег, тема про анализ ОпенССЛ. <br><br>[code]<br>errno = 0;<br>if (RAND_pseudo_bytes(...) != 1) {<br> if (ERR_get_error() != 0) <br> printf("Только тут множно говорить, что была ошибка\n"); <br>} else<br> printf("Нимецкайа ошипка\&#21325;"); <br><br>[/code] <br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/106677.html#28 Thu, 11 Feb 2016 15:59:26 GMT &gt; Спецслужба Германии: OpenSSL чист, мы не можем его взломать.<br><br>Это вполне может быть и правдой. Они же прослушку Меркель продолбали.<br> https://www.opennet.ru/openforum/vsluhforumID3/106677.html#27 Thu, 11 Feb 2016 15:55:52 GMT &gt; фрицы в жопе. :) <br><br>Это не новость - после недавнего скандала с прослушкой Меркель, очевидно, что немецкий контрразведчик - это что-то типа британского учёного. Но, хочу отметить, что безопасность России не зависит ни от Зимбабве, ни от Бразилии, ни от Германии.<br> https://www.opennet.ru/openforum/vsluhforumID3/106677.html#26 Thu, 11 Feb 2016 15:41:59 GMT &gt; Написали: не использовать IBM CA, Zencode Engine, Cluster Labs, <br>&gt; так как в случае ошибки функция rand_pseudo_bytes() возвращает ноль!<br><br>Пля, во лохи... маны не курят. Теперь я спокоен за безопасность России, фрицы в жопе. :)<br><br>$ man RAND_pseudo_bytes<br><br>[code]<br>RETURN VALUES<br> RAND_bytes() returns 1 on success, 0 otherwise. The error code can be obtained by<br> ERR_get_error(3). RAND_pseudo_bytes() returns 1 if the bytes generated are<br> cryptographically strong, 0 otherwise. Both functions return -1 if they are not<br> supported by the current RAND method.<br>[/code]<br><br>Результат RAND_pseudo_bytes() полюбасу не должен использоваться если она возвращает всё кроме 1. <br> https://www.opennet.ru/openforum/vsluhforumID3/106677.html#25 Thu, 11 Feb 2016 14:53:20 GMT Еще генератор случайных чисел подправьте, чтобы точно мы не взломали ;)<br> https://www.opennet.ru/openforum/vsluhforumID3/106677.html#24 Thu, 11 Feb 2016 14:43:18 GMT А зачем исправлять, если даже и нашли будут использовать.<br>