O business case para um multi-tenant, solução Recovery-como-um-serviço baseado em nuvem
Como medos crescer que os espiões dos Estados Unidos e do Reino Unido têm deliberadamente paralisada componentes-chave em sistemas de criptografia de hoje, os usuários do OpenSSL certamente pode relaxar sobre uma coisa.
Foi revelado que o kit de ferramentas de criptografia - usado por resmas de software de navegadores web para HTTPS para SSH para os terminais seguros - não está usando o gerador de números aleatórios desacreditado dupla CE DRBG .
E isso é devido a um bug que está agora firmemente um WONTFIX.
Uma falha de codificação descoberto na biblioteca impede "qualquer utilização" da curva elíptica dupla (Dual CE) gerador de bits aleatórios determinista (DRBG) algoritmo, um algoritmo de criptografia fraco defendido por ninguém menos que o NSA.
Nenhum outro DRBGs usadas por OpenSSL são afetados, dizem.
"A natureza da falha mostra que ninguém tem usado o OpenSSL dupla CE DRBG," Steve Marquês do OpenSSL Software Foundation escreveu ontem em um posto lista de discussão . Ele creditou a descoberta de Stephen Checkoway e Matt Green, do Instituto Universitário Johns Hopkins Segurança da Informação.
O bug no fips_drbg_ec.c pode ser corrigido com uma mudança de uma linha para que o estado duplo CE DRBG é atualizado e sua saída utilizada. É um raro exemplo de um trapalhão software que tem efeitos colaterais benéficos.
Criptógrafos ter abrigado suspeitas sobre Dual CE DRBG por pelo menos seis anos. A tecnologia foi repudiado [ PDF ] no início deste ano pelo governo dos EUA corpo de padrões de tecnologia NIST, e as pessoas foram avisados pela RSA, divisão de segurança da EMC, para abandonar o algoritmo.
Os cientistas da computação passaram a acreditar que o projeto do algoritmo foi prejudicado durante o seu desenvolvimento, criando efetivamente uma backdoor [ PDF ] para que os sistemas de criptografia que contavam com ele poderia ser facilmente quebrado. Tais sistemas de criptografia dependem de geradores criptograficamente seguras de números aleatórios para torná-los extremamente difícil de prever.
Dado que a dupla CE DRBG é "bastante tóxico para qualquer fim", dizem-nos, não há planos para corrigir o bug OpenSSL, pois isso seria muito mais problemas do que o seu valor. O melhor, e mais simples, a resolução do problema é a esnobar a tecnologia, que até recentemente veio com um aval do governo dos EUA.
"Um módulo validado FIPS 140-2 não pode ser alterado sem custo e esforço considerável, e que tenham iniciado recentemente esse processo de completamente removendo o código dupla CE DRBG do módulo formalmente validada", acrescentou o marquês. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário