Vlákno názorů k článku
Jak na OpenSSL 3

Uz jsem to tu psal v poznamce k prvnimu clanku a jen to budu opakovat. Nechapu, jak nekde muze pouzivat natoz doporucovat OpenSSL. Jedna se o jednu z nejhorsich implementaci a jiz na OpenSSL bylo zaznamenano mnoho utoku. Pokud to nekdo s bezpecnosti mysli vazne a je profesional, NIKDY OpenSSL nemuze pouzit! Pokud ale chcete napr. zabezpecit komunikaci nejakeho chatu, kde se lidi bavi o pocasi a chteji mit pocit soukromi a nikdo nebude tuhle komunici chtit prolomit, tak na tohle se asi ten produkt hodi. Duvody, proc je OpenSSL shit jsem jiz napsal ve svych prvnich reakcich na prvni dil tohoto serialu.

Vase duvody, ze je neco bezpecneho pokud se o tom nevi (tj. utajuje se zpusob jak je to udelane) moc nesvedci o tom, ze byste byl profesional.
Utajenim implementace maximalne pouze odradite script-kiddies. I ta Vami vychvalovana MS implementace SSL ma chyby a i kdyby byl tento subsystem doladen k dokonalosti je tu preci jeste mnoho jinych cest jak se k tem datum dostat.
Na OpenSource nevidim pro komercni nasazeni nic spatneho, protoze zaruky mam naprosto stejne jako u komercnich produktu (tj. zadne).

:)) Podivejte se, pruniky do OpenSSL jsou nejcastejsi a to z mnoha duvodu. Dva jsou primarni a to otevrenost kodu a druhy je (ne)kvalita implementace (jiz jsem zminil, ze problem s premaster secret u OpenSSL je resen polovicate). Krome toho ani neni popsan zadny plan o prechodu k OAEP a porad se drzi PKCS1ver1.5, coz je tristni (u komercnich firem, tedy tech velkych, ten plan je). Duvody ohledne otevrenosti jsem zminil a jsou jasne. A co jste napsal, je demagogie. Nepsal jsem, ze bezpecne je to, pokud se o tom nevi. Ale psal jsem o tom, ze jsou duverne informace, ktere mohou utocnikovi pomoci pri pruniku. A sem bezesporu patri zverejneni kodu. Neni nic proti OSS, ale proti tomuto kroku. A to, jak obecne mluvite o tom, jake mate zaruky komercni vuci OSS je uplna blbost a vubec nic netusite o tom, jak se dela vyvoj kryptografickych produktu. Naopak zde mate mnoho zaruk, ptz je nekolik kroku a testu, kterymy musi takovy produkt projit a to je sakra draha zalezitost. OSS produkty nemaji ani zakladni overovaci uroven a jsou testovany ad hoc. V tomto RSA i s mnoha vyrobci software definovali overovaci mechanizmy, kdy se kontroluje kvalita implementace, ochrana kodu, jsou dane patterny pro psani nekterych algoritmu atd. A zde se pak kontroluje jejich dodrzovani. A uvedeni takove overeneho produktu vas prijde cca na 2-3mil$ v te nizke cenove hladine.OPravdu vubec nemate o tomto prumyslu ani poneti.

Dobra, kdyz tedy budu pouzivat Vas produkt muzu ocekavat, ze pokud vinou vaseho software prijdu o miliony dolaru nebo nekdo prijde o zivot, vy poskytnete plnou kompenzaci?

Ne. Tuto garanci Vam neda nikdo, stejne jako Vam zadna firma neda garanci na to, ze kdy pojedete jimi vyrobenym autobusem nebo automobilem, tak se Vam nic nestane. Ale tohle uz je demagogie. Pokud nechcete videt ten rozdil, plynouci z urovne mozneho zabezpeceni jak je to jde, tak nemohu s tim nic udelat.

Takze zaruky mam stejne tj. zadne :-)

Pouze snizim pravdepodobnost rizika, ale kdyz se kouknu treba na jiz zminovany amazon.com tak s klidnym svedomim klidne OpenSSl pouziju. Myslite si, ze v tech spolecnostech pracuji idioti a Vy jste snedl moudrost sveta?
Ad lepsi/horsi. Vzdy si vzpomenu na boj lepsiho formatu beta-8 s VHS a kde ted mate tu betu? :-)

Pracuji tam JEN uzivatele produktu, ktere vytvorime my a dalsi kryptograficke firmy. Umeji je pouzivat, ale ne implementovat, natoz aby rozumeli logice za tim. Tim mate odpoved.

Jeste k tomu amazonu. Akorat jsem se ptal naseho obchodniho oddeleni a pravdepodobne amazon bude nas dalsi klient. Tedy Amazon jiz je, ale ne pro webservery (Baltimore jim dodava zabezpeceni site a taky "zelezne" sifrovani). Ale jak jsem se dozvedel, asi budou minimalne nyni v pilotu pouzivat nas produkt. A to prave v reakci na exploity OpenSSL. TO jen k Vami zminenemu komentari o Amazonu ;)

Jinak mohu si zde i malicko prihrat polivcicku, ptz se mohu pochlubit tim, ze napriklad jako jedina firma (tedy Baltimore.com) jsme spolecne s RSA prosli implementaci SSL pro nase produkty a mate tuto akreditaci primo z RSA. Nase kody jsou jimi proverene a otestovane. I proto mnoho velkych firem nase produkty pouzivat a dokonce i RSA nektere nase systemy preprodava.
TOhle ani nahodou nejake usmudlane OpenSSL nema a mit nebude. Krome toho jsme tyto implementace prosli i treba s Brucem Schneierem, coz je spicka kryptologickeho odvetvi a i proto vim, jak to ma udelano Microsoft, se kterym na tom i tento pan spolupracoval. Proto ma MS nejmene exploitu v SSL. Ale Baltimore technologies je spicka ;)

Taky tomu verim, jste vseobecne znamy svou peci o bezpecnost. Zcela nepochybne se to tyka i SSL. Skoda jen, ze sve kody drzite v tajnosti, kdyby ne tak bych mohl vase produkty pouzivat, takhle musim OpenSSL ktere sice ma drobne vady na krase, ale zase vim jake a tak se proti nim muzu branit.

Aha...A ja to vite, jake ma vady na krase? My spolupracujeme se spickou ve vyzkumu, tedy temi, kdo skutecne hledaji matematicke exploity a s nimi to implementujeme. OpenSSL je skutecne des bes. Jak byste si napriklad chtel preimplementovat ochranu exponentu v tom SSL? I tohle ma OpenSSL velmi spatne vyreseno a bylo o tom publikovano nekolik odbornych clanku (tedy ne o OSSL, ale obecne). Ta ochrana kodu je zcela zasadni a prave otevreni kodu by znamenalo jen zvyseni pravdepodobnosti utoku. Nechapu, ze to nedokaze nekdo pochopit. Ja osobne znam na svete jen asi 7 matematiku, kteri dokazi mluvit a rozumet a popsat nejlepsi zpusob, jak chybi v implementaci opravit. Vy snad mezi ne patrite?

chtel jsem tim rict jen jedno, asi jsi to nepochopil:-) mlzis, mlzis a mlzis.. :-) ty jsi zhruba jako zpravy o ufo, jedna pani povidala... argumentujes tu tak, ze si to ostatni nemuzou overit (jiste to je vec obchodniho tajemstvi ze:-), a tutiz muzes kecat jak chces a co chces a nikdo ti na to nemuze ani pipout. Jestli ses z mkrvosoftu tak ti muzu rict, ze me fakt vase produkty serou, ted se treba nemuzu pripojit na nejmenovany server ktery pouziva nemenovany webserver, takze diky tomu zitra valim s tezky kufrem nekolik km pesky, to se teda fakt tesim, takze prestan kecat picoviny a zacni uz konecne neco rozumnyho delat!!!!!!

TOhle nemusim komentovat. Sam jste se projevil jako hulvat.

Nerekl bych, ze se projevujete lepe. Pusobite na mne jako arogantní b*b.

A amazon.com je podle vas chat kde se lidi bavi o pocasi a proto si muze dovolit pouziva OpenSSL?

OpenSSL pouziva i mnoho velkych firem, ale to nema co delat s tim, ze to rozhodnuti je spravne. Stejne jako mnoho lidi pouziva k placeni po netu kreditni karty, tak to neznamena, ze kdyz to dela vetsina, ze je to bezpecne.

Jak jsem jiz psal. Dokazte prakticky, ze OpenSSL je spatne jinak je to samy FUD.

A jak byste si takovy dukaz predstavoval? POkud byste chtel nejakou analyzu, tak tu pripravuji a mozna vyjde na nekterem anglickem serveru na konci kvetka (je to analyza a frekvenci vyskytu exploity v ruznych implementacich a jejich prioritni ohrozeni klienta). POkud budete chtit neco hned, tak nebudte hloupy a podivejte se na google a najdete si pdfka se popsanymi exploity a mozna, ze najdete i nejake statistiky (na CERTu je treba tento starsi link, ze novejsi neznam, ale pokud nebudete demagog a liny, najdete si dalsi: http://www.cert.org/advisories/CA-2002-23.html). Je to jen zaklad pro dalsi rozbor tech chyb.
A pokud jste tak dobry, tak mi napr. odpovezte na to, proc OpenSSL neimplementovalo (az do brezna 03) korektne PKCS1ver1.5? A proc nekotrolovalo verzi oracle a to byl pak duvod k pruniku do SSL a ziskani privatniho klice? A kdyz se podivate, tak tech uprav tam museli udelat hodne, ptz se spolehali na default chovani (pochopitelne abych byl korektni, tak je to i chyba RSA, ktere striktne nepopisuje, ze tohle je treba pro implementaci handshaku pozadovani, jako je treba ta kontrola verzi, ale jine firmy to maji a proc ne OpenSSL?)

Jinak jeste malicko nacrtnu, kde se daji hned u OpenSSL videt problemy:
Jeden z moznych utoku, jak jiz jsem naznacil se muze tykat dvou kombinaci s tzv. "key freshness", tedy jednoducheho exponentu a pak k tomu pridany utok
V pripade jednoducheho exponentu to muzete pro zjednodusenost videt tak, ze kdyz mate dva zaklady exponentu (privatni a verejny klic) jako x a y, kdy rekneme x=1, potom pro vas bude snadne odvodit, ze g na x je rovno g a z toho pak lze rychle vypocitat jednu z casti toho retezce. A zde pak zalezi na implementaci, jak se s exponenty pracuje, jak se generuji a jak se ukladaji. A to ma OpenSSL reseno spatne (open je zde pouzity nestandardni postup, ktery neurcuje ani RSA a dokonce byl kritizovan i v jednom dokumentu NSA, zel ten link ted nevim).
TOhle pak v kombinaci s druhym utok (tedy obnovovani klicu) je zcela kriticke (jak vyplyva z toho dokumentu: http://crypto.cs.mcgill.ca/~stiglic/Papers/dhfull.pdf). A zde je implementace OSSL nestandardni a diky tomu je zde mozne provest mnoho utoku v dokumentu popsanych.
Jinak tohle by bylo na dlouhou analyzu, ale pokud nebudete bridil, tak si to projdete.

Petre,
Vy jste tak trochu mimo misu.
Zejmena v ohledu vyzdvihovani
krachujici firmy Baltimore a
naivnich iluzich o produktech M$

chtel jsem tim rict jen jedno, asi jsi to nepochopil:-) mlzis, mlzis a mlzis.. :-) ty jsi zhruba jako zpravy o ufo, jedna pani povidala... argumentujes tu tak, ze si to ostatni nemuzou overit (jiste to je vec obchodniho tajemstvi ze:-), a tutiz muzes kecat jak chces a co chces a nikdo ti na to nemuze ani pipout. Jestli ses z mkrvosoftu tak ti muzu rict, ze me fakt vase produkty serou, ted se treba nemuzu pripojit na nejmenovany server ktery pouziva nemenovany webserver, takze diky tomu zitra valim s tezky kufrem nekolik km pesky, to se teda fakt tesim, takze prestan kecat picoviny a zacni uz konecne neco rozumnyho delat!!!!!!

Kdyz se tak duverne znate s matematickou spickou jiste pro Vas nebude problem dokazat nam jaky je OpenSSL bes a des. Napriklad tim, ze ziskate data chranena protokolem https, co rikate? Ze nemate cas? ;-))

Ja se s nimi znam, ale ROZHODNE mezi ne nepatrim, sice v kryptografii delam skoro 15 let, ale nejsem rozhodne tahle spicka, jako tito panove, jak jsem zminil pan Schneier, Diffie atd.
Patrim mezi ty, co nakonec implementuji jejich vyzkum. A ziskat ty data nemusi byt az takovy problem. Je k tomu znama dokonce jedna referencni implementace, tedy ne pro SSL, ale TLS.

http://omen.vuagnoux.com/

TO je pak i pro takove BFU jako jsou zde mnoho pritomnych prispevovatelu. Sice musite mit starsi verzi, ptz pochopitelne to je jiz fixovano, ale muzete si vyzkouset, jak je mozne rychle prolomit TLS a ziskat tak sifrovany pristup k mailum vasich kolegu.

Jinak tyhle komentare, ktere maji byt radoby rozumne, jsou jen ukazkou toho, jak si hurvinek predstavuje valku, tedy ze exploity se delaji na objednavku. Trochu se naucte mene flamewarovat a vice neco vedet.

Jak sam pisete, uz je to opraveno tudiz je to irelevantni.
Exploity se delaji i na objednavku ;-) Ja po Vas, ale nechtel exploit, ale dukaz pro Vase tvrzeni, ze OpenSSL je tak hrozne, ze ho prolomite za 5 minut a Vase implementace vydrzi vecne :-)
A spis se mi zda, ze pracujete v marketingu :-)))

Jste obycejny hlupacek a demagog, jak jiz plyne z prvniho vaseho prispevku. Nerekl jsem, ze nase reseni je neprolomitelne. To neni zadne reseni, pokud nenadefinujete nekonecne velke prirozene cislo. Pak ano.
A tyhle kecy uz nemaji cenu. Vubec nerozumite kryptografii a nenapsal jste JEDINY odborny argument o kvalite/nekvalite kterehokoliv produktu, treba i naseho nebo OpenSSL.

Ehm... coze si to rikal o te demagogii?

Jinak jeste doplneni a to k tomu, ze zjevne vubec nemate prehled, co se v kryptografii deje. Je to sice fixovano, ale je mozne cekat variace na tento typ utoku. Je to problem utoku zalozeny na Bleichenbacherove metode. Takze TATO konrektni implementace je fixovana, ale jsou zde otevrene moznosti pro dalsi modifikace tohoto utoku. Doporucuji Vam precit si neco o "channel attacks" a "timing attacks"

Tady je prave doporuceni, jak na tento exploit reagovat a jak zminuje tato prestizni firma (firma Bruce Schneiera), tak se jedna o pravdepodobne opakovatelny utok a je nutne ho fixovat koncepcne, ne pouze tento jeden.
http://www.counterpane.com/alert-v20020731001.html

Peto, experte pres SSL, nauc se psat cesky.

kolisko

ja bych predevsim opravil chybY v gramatice... :D

A co SUN? Mam ten dojem, ze hosi ze Sunu meli nejak pomoci openSSL prechodu na krivky. Sun stagnuje. Celkem by mne zajimalo jest-li ano (pomohli, naimplementovali) nebo ne. Coz by vypovidalo o snizeni akcii pro akvizici nebo opravdove problemy. Uvidime :-)

O šifrování asi nic nevíš, protože jinak bys věděl, že jedno základní pravidlo říká, že neprolomitelnost šifry nemá záviset na tom, že třetí strana nezná algoritmus (nebo jeho implementaci), ale na tom, že nezná klíč. Volně přeloženo :-) Více viz Auguste Kerckhoffs