Názor ke zprávičce Vážný bezpečnostní problém s OpenSSL v Debianu od Ondřej Surý - Lépe to jde vidět přímo z debianího bugu,...

Lépe to jde vidět přímo z debianího bugu, ale pokusím se udělat rychlé shrnutí (P.S. Je to psané laickým jazykem, tak mě pokud možno nekamenujte za špatnou terminologii, případně mě v klidu opravte v reakci).

Někdy v roce 2006 někdo nahlásil, že programy slinkované s openssl se nedají valgrindem skoro vůbec debugovat, protože to na jednom hodně používaném místě hlásí přístup do neinicializované paměti. Chvíli se to diskutovalo a oprava této chyby nakonec udělala to, že onen kus ze zdrojáků vymazala (zakomentovala).

Bohužel tento kus přidával další entropii do generátoru náhodných čísel a odstraněním této jedné řádky se snížila "náhodnost" generátoru náhodných čísel. Vzhledem k tomu, že z tohoto generátoru vychází další šifry (např. generování RSA, DSA klíčů), tak se snížila bezpečnost těchto klíčů, protože jsou lépe predikovatelné.

S hlavní vývojovou větví to nemá vůbec nic společného.

P.S.: Celá tato záležitost ukazuje ještě na jednu věc - jak je důležité psát komentáře v kódu, který je "divný".