OpenSSL a FIPS 140-2

Steve Marquess, spoluzakladateľ a prezident OpenSSL Software Foundation vo svojom príspevku hovorí o podvratnej úlohe programu overovania FIPS 140-2. Štandard FIPS predstavuje vládou stanovenú normu počítačovej bezpečnosti, používanú na akreditáciu kryptografických modulov.
V súčasnej atmosfére E. Snowdenových informácií však existujú veci, ktoré boli predtým odmietnuté ako obyčajná softvérová nešikovnosť alebo nehoda, ale teraz to môžu byť v skutočnosti aspekty starostlivo naplánovanej a vykonávanej vládou riadenej “advanced persistent threat”(APT).
Najväčšou hrozbou je samotná existencia FIPS 140-2, ktorá neumožňuje akúkoľvek zmenu zdrojového kódu už validovaného krypto-modulu, aj keby sa malo jednať o opravu objavených bugov v kóde! Aj v module OpenSSL FIPS existujú takéto slabé miesta (“Lucky 13″ a tiež CVE-2014-0076) a preto logicky vyplýva, že overené casino online (OpenSSL FIPS) moduly sú menej bezpečné ako hociktorý neoverený modul zo softvérového zásobníka OpenSSL.
A ďalej, tiež to nepovoľuje vyradenie a vyhodenie neslávne známeho (spustiteľného kódu) Dual EC DRBG zo samotného objektového modulu OpenSSL FIPS, takže už len samotná existencia spustiteľného kódu Dual EC DRBG predstavuje obrovské bezpečnostné riziko. Stále sa ešte čaká na „papierové“ schválenie odstránenia spustiteľného kódu Dual EC DRBG zo samotného objektového modulu OpenSSL FIPS v revízii 2.0.6.

Záložka pro permanentní odkaz.

Autor: dodoedo

"Američtí vědci zjistili, že občané věří všemu, co američtí vědci zjistili." Byť Slobodný znamená, že nepotrebuješ byť členom žiadnej záujmovej skupiny, a si nezamestnaný zo strany bankových kartelov.

Komentáře jsou uzavřeny.