Vlákno názorů k článku Jak na OpenSSL od petr - Tak tohle je smesne. Prave OpenSSL se ted...

Tak tohle je smesne. Prave OpenSSL se ted proslavilo onou chybou, ktera je hodne po internetu rozebirana a kdy prave OpenSSL je mozne (pokud neni aplikovany ten fix) prolomit. Jen servery Microsoftu nebyly prolomeny ;) Hlavne ze ma porad plno lidi kecu o bezpecnosti linuxu :))) a to, ze pak je mozne nabourat SSLko jako zcela zasadni komunikacni kanal netu se asi v linuxove komunite bere jako malickost ;) jojo, proste pohodari, co se nestaraji o kvalitu, asi na to nemaji penize ;) uzijte si to ;)

Mno, nezda se mi, ze by ta chyba (myslite pravdepodobne moznost ziskani klice "postranim kanalem") byla nejak vyjimecna, je pouze aktualni. Jeji vyuziti je v praktickych podminkach pomerne netrivialni. Chyby ktere byly cca pred rokem (viz http://www.openssl.org/news/secadv_20020730.txt) mi prijdou zavaznejsi.

To je vec nazoru. Ja osobne pokladam tohle za zasadni chybu, ale jak jiz jsem zminil, je to vec pohledu. A pokud se na to podivate, tak slo o chybu v tom, ze zde neni kontrola pro verzi premaster-secter u OpenSSL (coz napr. prave SSL u MS dela). A tohle presne je v tom utoku pouzito. Proto napr. MS SSL nebylo prolomeno, protoze se striktrne ridi kontrolou. OpenSSL to nechava tak jakoby "by default" a toho ten utok zneuzil. Pochopitelne jedine reseni koncepcni je prechod z PKCS1 na OAEP. Ale to znamena preimplementovat klienty, servery a vsechno. To neni jen tak ;)

tak se pustte do opravy OpenSSL, znalosti na to mate, zdrojaky jsou k dispozici ....
Prej mnoho stesti

A proc bych to delal? A hlavne vyvoj kryptografickych knihoven by mel byt utajen a testovan interne. Je to jedno ze zasadnich bezpecnostnich pravidel, ze se nezverejnuji informace, ktere se mohou zneuzit pro bezpecnost. Myslet si, ze diky tomu nekdo prijde na chyby je velmi naivni. Asi tak, jako bychom si rekli, ze bezpecnost banky overime tim, ze zverejnime vsechny tajne informace o architekture a usporadani bezpecnostnich systemu a ze nam diky tomu lide tohle budou pripominkovat a banka se zlepsi. Takove bance bych nedal ani korunu a to plati i pro OSS a bezpenost. OpenSSL je vhodne pro BFU uzivatele, co posilaji email, ze treba pepicek neco delal s marenkou. Ale pro korporace je OpenSSL zasadni chyba a kdyz to pouziji, tak vubec nic nevedi o kryptografii a bezpecnosti. K tomu jsou urcene produkty komercnich firem jako Baltimore nebo RSA, ale NIKDY ne OSS. Osobne by toto melo byt chraneno i zakonem, ptz to je krajni nezodpovednost pouzivat OSS produkty na zabezpeceni kritickych dat.

Diky muj synu, ze ses mne zastal.
Jsem rad, ze mam i mezi chudymi a prostymi lidmi sve fandy a obdivovatele. Ano, delam to pro vas pro vsechny, kteri mi fandite ;)

Tohle je klasika. Sice patrim mezi uzivatele linuxu, ale musim priznat, ze OpenSSL je jeden z nejderavejsich produktu, a to v bezpecnosti nejde pripustit. A mrzi me, ze nekdo z teto komunity namisto vecne odpovedi nebo i pripusteni toho, ze fakt OpenSSL je deravy shit, tak zacne psat tyhle blaboly. Kdybys neco vedel o OpenSSL a jejich implementaci, tak by sis musel vsimnout, jak je to odflaknuty, jak to sice jeden podle PKCS1, ale prave ta doporuceni (co jak pisou jiny lide zde) vedla az ke zmene PKCS1, tak to je dost tristni.
A co to ma co delas s Gatesem? Chces tu vyvolat flameware? Jen proto, ze neumis priznat, ze treba tohle je fakt shit a chce to najit lepsi produkt pro linux, kteremu lze verit? To nejsi profesional, ale jen obycejny fanatik a blbecek, co rozpouta flame kvuli kravine, jen aby se jeho fanatismus nepolozil.

No dovol, ja profesional jsem, to sis nevsiml, ze Windows rozhodne zdarma nerozdavam? Proc tu clovece vubec penis? Muj priznivec, jak vidim nejses, tak se s tebou vubec nebudu bavit :))

OpenSSL me navic vubec nezajima, mam svoji vlastni implementaci. Ja totiz "nejsem zadnej prostej pohodar, co se nestara o kvalitu, a rozhodne na to penize mam (nezebrej, stejne ti nic nedam), a rozhodne si to uzivam".

P.S. ses tipickej pripad cloveka, co dokaze sam sebe rozcilit - cim vic pises, tim jses sprostsi. Uz radsi nic nepis ;)