Vlákno názorů k článku Jak na OpenSSL 3 od petr - Uz jsem to tu psal v poznamce k...
-
petr (neregistrovaný)
Uz jsem to tu psal v poznamce k prvnimu clanku a jen to budu opakovat. Nechapu, jak nekde muze pouzivat natoz doporucovat OpenSSL. Jedna se o jednu z nejhorsich implementaci a jiz na OpenSSL bylo zaznamenano mnoho utoku. Pokud to nekdo s bezpecnosti mysli vazne a je profesional, NIKDY OpenSSL nemuze pouzit! Pokud ale chcete napr. zabezpecit komunikaci nejakeho chatu, kde se lidi bavi o pocasi a chteji mit pocit soukromi a nikdo nebude tuhle komunici chtit prolomit, tak na tohle se asi ten produkt hodi. Duvody, proc je OpenSSL shit jsem jiz napsal ve svych prvnich reakcich na prvni dil tohoto serialu.
-
Yrvin (neregistrovaný)
Vase duvody, ze je neco bezpecneho pokud se o tom nevi (tj. utajuje se zpusob jak je to udelane) moc nesvedci o tom, ze byste byl profesional.
Utajenim implementace maximalne pouze odradite script-kiddies. I ta Vami vychvalovana MS implementace SSL ma chyby a i kdyby byl tento subsystem doladen k dokonalosti je tu preci jeste mnoho jinych cest jak se k tem datum dostat.
Na OpenSource nevidim pro komercni nasazeni nic spatneho, protoze zaruky mam naprosto stejne jako u komercnich produktu (tj. zadne). -
petr (neregistrovaný)
:)) Podivejte se, pruniky do OpenSSL jsou nejcastejsi a to z mnoha duvodu. Dva jsou primarni a to otevrenost kodu a druhy je (ne)kvalita implementace (jiz jsem zminil, ze problem s premaster secret u OpenSSL je resen polovicate). Krome toho ani neni popsan zadny plan o prechodu k OAEP a porad se drzi PKCS1ver1.5, coz je tristni (u komercnich firem, tedy tech velkych, ten plan je). Duvody ohledne otevrenosti jsem zminil a jsou jasne. A co jste napsal, je demagogie. Nepsal jsem, ze bezpecne je to, pokud se o tom nevi. Ale psal jsem o tom, ze jsou duverne informace, ktere mohou utocnikovi pomoci pri pruniku. A sem bezesporu patri zverejneni kodu. Neni nic proti OSS, ale proti tomuto kroku. A to, jak obecne mluvite o tom, jake mate zaruky komercni vuci OSS je uplna blbost a vubec nic netusite o tom, jak se dela vyvoj kryptografickych produktu. Naopak zde mate mnoho zaruk, ptz je nekolik kroku a testu, kterymy musi takovy produkt projit a to je sakra draha zalezitost. OSS produkty nemaji ani zakladni overovaci uroven a jsou testovany ad hoc. V tomto RSA i s mnoha vyrobci software definovali overovaci mechanizmy, kdy se kontroluje kvalita implementace, ochrana kodu, jsou dane patterny pro psani nekterych algoritmu atd. A zde se pak kontroluje jejich dodrzovani. A uvedeni takove overeneho produktu vas prijde cca na 2-3mil$ v te nizke cenove hladine.OPravdu vubec nemate o tomto prumyslu ani poneti.
-
petr (neregistrovaný)
Ne. Tuto garanci Vam neda nikdo, stejne jako Vam zadna firma neda garanci na to, ze kdy pojedete jimi vyrobenym autobusem nebo automobilem, tak se Vam nic nestane. Ale tohle uz je demagogie. Pokud nechcete videt ten rozdil, plynouci z urovne mozneho zabezpeceni jak je to jde, tak nemohu s tim nic udelat.
-
Yrvin (neregistrovaný)
Takze zaruky mam stejne tj. zadne :-)
Pouze snizim pravdepodobnost rizika, ale kdyz se kouknu treba na jiz zminovany amazon.com tak s klidnym svedomim klidne OpenSSl pouziju. Myslite si, ze v tech spolecnostech pracuji idioti a Vy jste snedl moudrost sveta?
Ad lepsi/horsi. Vzdy si vzpomenu na boj lepsiho formatu beta-8 s VHS a kde ted mate tu betu? :-) -
petr (neregistrovaný)
Jeste k tomu amazonu. Akorat jsem se ptal naseho obchodniho oddeleni a pravdepodobne amazon bude nas dalsi klient. Tedy Amazon jiz je, ale ne pro webservery (Baltimore jim dodava zabezpeceni site a taky "zelezne" sifrovani). Ale jak jsem se dozvedel, asi budou minimalne nyni v pilotu pouzivat nas produkt. A to prave v reakci na exploity OpenSSL. TO jen k Vami zminenemu komentari o Amazonu ;)
-
petr (neregistrovaný)
Jinak mohu si zde i malicko prihrat polivcicku, ptz se mohu pochlubit tim, ze napriklad jako jedina firma (tedy Baltimore.com) jsme spolecne s RSA prosli implementaci SSL pro nase produkty a mate tuto akreditaci primo z RSA. Nase kody jsou jimi proverene a otestovane. I proto mnoho velkych firem nase produkty pouzivat a dokonce i RSA nektere nase systemy preprodava.
TOhle ani nahodou nejake usmudlane OpenSSL nema a mit nebude. Krome toho jsme tyto implementace prosli i treba s Brucem Schneierem, coz je spicka kryptologickeho odvetvi a i proto vim, jak to ma udelano Microsoft, se kterym na tom i tento pan spolupracoval. Proto ma MS nejmene exploitu v SSL. Ale Baltimore technologies je spicka ;) -
kokot (neregistrovaný)
Taky tomu verim, jste vseobecne znamy svou peci o bezpecnost. Zcela nepochybne se to tyka i SSL. Skoda jen, ze sve kody drzite v tajnosti, kdyby ne tak bych mohl vase produkty pouzivat, takhle musim OpenSSL ktere sice ma drobne vady na krase, ale zase vim jake a tak se proti nim muzu branit.
-
petr (neregistrovaný)
Aha...A ja to vite, jake ma vady na krase? My spolupracujeme se spickou ve vyzkumu, tedy temi, kdo skutecne hledaji matematicke exploity a s nimi to implementujeme. OpenSSL je skutecne des bes. Jak byste si napriklad chtel preimplementovat ochranu exponentu v tom SSL? I tohle ma OpenSSL velmi spatne vyreseno a bylo o tom publikovano nekolik odbornych clanku (tedy ne o OSSL, ale obecne). Ta ochrana kodu je zcela zasadni a prave otevreni kodu by znamenalo jen zvyseni pravdepodobnosti utoku. Nechapu, ze to nedokaze nekdo pochopit. Ja osobne znam na svete jen asi 7 matematiku, kteri dokazi mluvit a rozumet a popsat nejlepsi zpusob, jak chybi v implementaci opravit. Vy snad mezi ne patrite?
-
kokot (neregistrovaný)
chtel jsem tim rict jen jedno, asi jsi to nepochopil:-) mlzis, mlzis a mlzis.. :-) ty jsi zhruba jako zpravy o ufo, jedna pani povidala... argumentujes tu tak, ze si to ostatni nemuzou overit (jiste to je vec obchodniho tajemstvi ze:-), a tutiz muzes kecat jak chces a co chces a nikdo ti na to nemuze ani pipout. Jestli ses z mkrvosoftu tak ti muzu rict, ze me fakt vase produkty serou, ted se treba nemuzu pripojit na nejmenovany server ktery pouziva nemenovany webserver, takze diky tomu zitra valim s tezky kufrem nekolik km pesky, to se teda fakt tesim, takze prestan kecat picoviny a zacni uz konecne neco rozumnyho delat!!!!!!
-
petr (neregistrovaný)
A jak byste si takovy dukaz predstavoval? POkud byste chtel nejakou analyzu, tak tu pripravuji a mozna vyjde na nekterem anglickem serveru na konci kvetka (je to analyza a frekvenci vyskytu exploity v ruznych implementacich a jejich prioritni ohrozeni klienta). POkud budete chtit neco hned, tak nebudte hloupy a podivejte se na google a najdete si pdfka se popsanymi exploity a mozna, ze najdete i nejake statistiky (na CERTu je treba tento starsi link, ze novejsi neznam, ale pokud nebudete demagog a liny, najdete si dalsi: http://www.cert.org/advisories/CA-2002-23.html). Je to jen zaklad pro dalsi rozbor tech chyb.
A pokud jste tak dobry, tak mi napr. odpovezte na to, proc OpenSSL neimplementovalo (az do brezna 03) korektne PKCS1ver1.5? A proc nekotrolovalo verzi oracle a to byl pak duvod k pruniku do SSL a ziskani privatniho klice? A kdyz se podivate, tak tech uprav tam museli udelat hodne, ptz se spolehali na default chovani (pochopitelne abych byl korektni, tak je to i chyba RSA, ktere striktne nepopisuje, ze tohle je treba pro implementaci handshaku pozadovani, jako je treba ta kontrola verzi, ale jine firmy to maji a proc ne OpenSSL?) -
petr (neregistrovaný)
Jinak jeste malicko nacrtnu, kde se daji hned u OpenSSL videt problemy:
Jeden z moznych utoku, jak jiz jsem naznacil se muze tykat dvou kombinaci s tzv. "key freshness", tedy jednoducheho exponentu a pak k tomu pridany utok
V pripade jednoducheho exponentu to muzete pro zjednodusenost videt tak, ze kdyz mate dva zaklady exponentu (privatni a verejny klic) jako x a y, kdy rekneme x=1, potom pro vas bude snadne odvodit, ze g na x je rovno g a z toho pak lze rychle vypocitat jednu z casti toho retezce. A zde pak zalezi na implementaci, jak se s exponenty pracuje, jak se generuji a jak se ukladaji. A to ma OpenSSL reseno spatne (open je zde pouzity nestandardni postup, ktery neurcuje ani RSA a dokonce byl kritizovan i v jednom dokumentu NSA, zel ten link ted nevim).
TOhle pak v kombinaci s druhym utok (tedy obnovovani klicu) je zcela kriticke (jak vyplyva z toho dokumentu: http://crypto.cs.mcgill.ca/~stiglic/Papers/dhfull.pdf). A zde je implementace OSSL nestandardni a diky tomu je zde mozne provest mnoho utoku v dokumentu popsanych.
Jinak tohle by bylo na dlouhou analyzu, ale pokud nebudete bridil, tak si to projdete. -
kokot (neregistrovaný)
chtel jsem tim rict jen jedno, asi jsi to nepochopil:-) mlzis, mlzis a mlzis.. :-) ty jsi zhruba jako zpravy o ufo, jedna pani povidala... argumentujes tu tak, ze si to ostatni nemuzou overit (jiste to je vec obchodniho tajemstvi ze:-), a tutiz muzes kecat jak chces a co chces a nikdo ti na to nemuze ani pipout. Jestli ses z mkrvosoftu tak ti muzu rict, ze me fakt vase produkty serou, ted se treba nemuzu pripojit na nejmenovany server ktery pouziva nemenovany webserver, takze diky tomu zitra valim s tezky kufrem nekolik km pesky, to se teda fakt tesim, takze prestan kecat picoviny a zacni uz konecne neco rozumnyho delat!!!!!!
-
petr (neregistrovaný)
Ja se s nimi znam, ale ROZHODNE mezi ne nepatrim, sice v kryptografii delam skoro 15 let, ale nejsem rozhodne tahle spicka, jako tito panove, jak jsem zminil pan Schneier, Diffie atd.
Patrim mezi ty, co nakonec implementuji jejich vyzkum. A ziskat ty data nemusi byt az takovy problem. Je k tomu znama dokonce jedna referencni implementace, tedy ne pro SSL, ale TLS.
http://omen.vuagnoux.com/
TO je pak i pro takove BFU jako jsou zde mnoho pritomnych prispevovatelu. Sice musite mit starsi verzi, ptz pochopitelne to je jiz fixovano, ale muzete si vyzkouset, jak je mozne rychle prolomit TLS a ziskat tak sifrovany pristup k mailum vasich kolegu.
Jinak tyhle komentare, ktere maji byt radoby rozumne, jsou jen ukazkou toho, jak si hurvinek predstavuje valku, tedy ze exploity se delaji na objednavku. Trochu se naucte mene flamewarovat a vice neco vedet. -
Yrvin (neregistrovaný)
Jak sam pisete, uz je to opraveno tudiz je to irelevantni.
Exploity se delaji i na objednavku ;-) Ja po Vas, ale nechtel exploit, ale dukaz pro Vase tvrzeni, ze OpenSSL je tak hrozne, ze ho prolomite za 5 minut a Vase implementace vydrzi vecne :-)
A spis se mi zda, ze pracujete v marketingu :-))) -
petr (neregistrovaný)
Jste obycejny hlupacek a demagog, jak jiz plyne z prvniho vaseho prispevku. Nerekl jsem, ze nase reseni je neprolomitelne. To neni zadne reseni, pokud nenadefinujete nekonecne velke prirozene cislo. Pak ano.
A tyhle kecy uz nemaji cenu. Vubec nerozumite kryptografii a nenapsal jste JEDINY odborny argument o kvalite/nekvalite kterehokoliv produktu, treba i naseho nebo OpenSSL. -
petr (neregistrovaný)
Jinak jeste doplneni a to k tomu, ze zjevne vubec nemate prehled, co se v kryptografii deje. Je to sice fixovano, ale je mozne cekat variace na tento typ utoku. Je to problem utoku zalozeny na Bleichenbacherove metode. Takze TATO konrektni implementace je fixovana, ale jsou zde otevrene moznosti pro dalsi modifikace tohoto utoku. Doporucuji Vam precit si neco o "channel attacks" a "timing attacks"
ČLÁNKY DO MAILU