Si un defecto fatal afecta a una función criptográfica crítica utilizados por nadie, ¿cuáles son los desarrolladores de código abierto para hacer? Hasta hace poco, tal situación podría haber sido considerado como un merofilosófica experimento mental, Pero no más.
asesoramiento Jueves publicadoadvierte que una \ "módulo FIPS \" de la biblioteca OpenSSL ampliamente utilizado contenía una \ "bicho \ fatal" en el cumplimiento de Dual EC_DRBG.Dudas creíblessobre la fiabilidad del generador determinista de bits aleatorios surgió casi inmediatamente después de que funcionarios de la Agencia de Seguridad Nacional pastoreaban a través de un organismo internacional de normalización en 2006. En septiembre, se reavivaron los temores cuandoThe New York Timesreportado el algoritmopuede contener un backdoor ingeniería NSAeso hace que sea más fácil para los espías del gobierno para descifrar las comunicaciones cifradas.
El fatal error Dual EC_DRBG reside en la v2.0 Módulo Objeto FIPS, una biblioteca OpenSSL opcional que se utiliza para crear aplicaciones criptográficas que están certificados por el gobierno de EE.UU.Estándares Federales de Procesamiento de Información. Cuando se utiliza la implementación del módulo de doble EC_DRBG, la aplicación se bloquea y no se puede recuperar. Ese es un descubrimiento asombroso para una aplicación que tuvo que someterse a incontables horas de pruebas para ser certificado por el gobierno del país más poderoso del mundo. El lado positivo parece ser que no hay evidencia nadie ha utilizado realmente Dual EC_DRBG en versiones de lanzamiento del módulo OpenSSL (aunque esto a su vez plantea la cuestión de por quéHerramienta de cifrado BSAFE de RSA utiliza el RNG por defecto
Leer 4 párrafos restantesComentarios
     |
| Tweet |
No hay comentarios:
Publicar un comentario