Von Christian Wetzel am Mi, 21. Mai 2014 um 10:02 #
Wieso Linux Chaoten ? Nur weil OpenSSL auch Open Source ist ? Ich freue mich darueber dass es in dem Bereich endlich mal voran geht. Die Codequalitaet von OpenSSL ist wirklich furchtbar und wir suchen fuer unsere Projekte auch schon lange nach einem Ersatz. Dass die ueblichen Tools wie valgrind mit OpenSSL nicht funktionieren hat ja schonmal zu schwachen Schluesseln gefuehrt.
Dual_EC_DRBG ist wohl das prominenteste Beispiel. Da ist nachgewiesen, dass es eine Backdoor hat (die Parameter werden nicht richtig benutzt, daher ist der Seed schwach, wenn ich das als Amateur richtig verstehe). Dennoch wird's von FIPS erfordert. D.h. FIPS zwingt quasi dazu, nicht-so-sichere Chiffrierung zu unterstützen und zu verwenden.
Siehe auch http://en.wikipedia.org/wiki/Dual_EC_DRBG
Das vielleicht schlimmste Fehldesign war die eigene Implementation eines Speicherallokators, die nie Speicher zurückgibt, beim Debuggen vertrauliche Daten in Logdateien schreibt
Die VoIP Anwendung Jitsi macht übrigens genau das gleiche, d.h. sie speichert vertrauliche Daten, wie z.B. die Jabberkennung beim Debuggen in die Logdateien.
OpenSSL ist also nicht die einzige OSS, die das so macht. Und natürlich sollte so etwas nicht passieren.
Naja, es ging ja schon seit langer Zeit die Sache um - sozuagen als Dauerwitz ähnlich Hurd - , dass OpenSSL deswegen so kompliziert und schlecht programmiert sei, damit NSA und Co ihre Backdoors drin verstecken können. So wars ja schlussendlich auch. Wer weiß, was noch drin steckt. Da passt auch ein solcher Logger doch bestens ins Bild. Und dass andere Softwaren ähnliche "Förderer" haben, ... nunja, wer hätte das ernsthaft nicht gedacht
Wer noch denkt es könnte sein, dass die Möglichkeit bestünde bei der Geheimdienste Backdoors verstecken würden, der irrt gewaltig. Sie tun es und sie tun es überall und sie machen es gut. Schon in der Hardware geht es los und nirgendwo(!!) hört es auf (warum auch?). Irgendwann wird vielleicht der normale(??) User Backdoors nutzen, um (unerkannt) auf seinen eigenen Rechner zuzugreifen^^ Vielleicht sind Backdoors gaaarnicht soooo schlecht Philosophischer Aspekt: Gehört einem noch eine Sache, die von anderen überwacht und kontrolliert wird? Nennt man sowas nicht Diebstahl oder Enteignung? Steht, glaub ich, in §1984
Die ganze Zeit die Nase ganz weit oben tragen, und die Linux-Chaoten bashen. Aber Geld von der Linux Foundation ist dann schon o.k.
Wer die Fehler behebt darf auch Geld von den Unterstützern der Fehlerverursacher fordern - des passt scho!
Wieso Linux Chaoten ? Nur weil OpenSSL auch Open Source ist ?
Ich freue mich darueber dass es in dem Bereich endlich mal voran geht.
Die Codequalitaet von OpenSSL ist wirklich furchtbar und wir suchen
fuer unsere Projekte auch schon lange nach einem Ersatz.
Dass die ueblichen Tools wie valgrind mit OpenSSL nicht funktionieren hat
ja schonmal zu schwachen Schluesseln gefuehrt.
Weiß jemand, was das für FIPS-Funktionen sind, die in OpenSSL aktiv sind und die man nicht haben will?
Wikipedia:
http://de.wikipedia.org/wiki/Federal_Information_Processing_Standard
nur was ist daran böse?
In dem verlinkten Slides findet man folgendes dazu:
FIPS is very intrusive. In other places Governments mandate use of certain ciphers (Cameilla, GOST, ANSSI FRP256v1, etc).
As long as these are not on by default, and are provided as clean implementations under and acceptable license we will include them.
We believe it's better people who have to use these use them in a sane library with a sane API than rolling their own and introducing more bugs
Dual_EC_DRBG ist wohl das prominenteste Beispiel. Da ist nachgewiesen, dass es eine Backdoor hat (die Parameter werden nicht richtig benutzt, daher ist der Seed schwach, wenn ich das als Amateur richtig verstehe). Dennoch wird's von FIPS erfordert. D.h. FIPS zwingt quasi dazu, nicht-so-sichere Chiffrierung zu unterstützen und zu verwenden.
Siehe auch http://en.wikipedia.org/wiki/Dual_EC_DRBG
Die VoIP Anwendung Jitsi macht übrigens genau das gleiche, d.h. sie speichert vertrauliche Daten, wie z.B. die Jabberkennung beim Debuggen in die Logdateien.
OpenSSL ist also nicht die einzige OSS, die das so macht.
Und natürlich sollte so etwas nicht passieren.
Naja, es ging ja schon seit langer Zeit die Sache um - sozuagen als Dauerwitz ähnlich Hurd - , dass OpenSSL deswegen so kompliziert und schlecht programmiert sei, damit NSA und Co ihre Backdoors drin verstecken können. So wars ja schlussendlich auch. Wer weiß, was noch drin steckt.
Da passt auch ein solcher Logger doch bestens ins Bild.
Und dass andere Softwaren ähnliche "Förderer" haben, ... nunja, wer hätte das ernsthaft nicht gedacht
Danke an die BSD-Leute *Daumen hoch*
Wer noch denkt es könnte sein, dass die Möglichkeit bestünde bei der Geheimdienste Backdoors verstecken würden, der irrt gewaltig. Sie tun es und sie tun es überall und sie machen es gut. Schon in der Hardware geht es los und nirgendwo(!!) hört es auf (warum auch?).
Irgendwann wird vielleicht der normale(??) User Backdoors nutzen, um (unerkannt) auf seinen eigenen Rechner zuzugreifen^^ Vielleicht sind Backdoors gaaarnicht soooo schlecht
Philosophischer Aspekt: Gehört einem noch eine Sache, die von anderen überwacht und kontrolliert wird? Nennt man sowas nicht Diebstahl oder Enteignung? Steht, glaub ich, in §1984