Bezpečnostní výzkumník Guido Vranken, který letos našel chyby v OpenVPN a loni bicyklový útok na HTTPS, tentokrát našel chybu ve funkci exponenty pro velká přirozená číslabig.Int.Exp v jazyce Go.
Tato funkce může teoreticky ovlivnit kryptografický software, ale chyba nastává pouze při exponentu 1, který není častý. Navíc většina programů používá jinou funkci new(big.Int).Exp(x, y, m), což je případ x/crypto, openpgp a ssh. Více detailů na GitHubu.
(zdroj: slashdot)
chyba nastává pouze při exponentu 1, který není častý.
A pokud je původní hodnota cílového bigintu nenulová. (0 nemá žádná data, takže nedojde k aliasingu proměnných, který způsobuje tu chybu)
Navíc většina programů používá jinou funkci new(big.Int).Exp(x, y, m),
To je ta samá funkce, ale na nově vytvořeném bigintu právě s nulovou výchozí hodnotou.
což je případ x/crypto, openpgp a ssh.
To jsou moduly Go.
A před chvílí se tu objevil tento článek:
https://www.root.cz/clanky/deravy-intel-me-lze-nahradit-minimalistickym-linuxem-a-go/
big.Int.Exp a new(big.Int).Exp(x, y, m) jsou jine funkce ? cim jsou jine ? jsou jinak definovane ?
Takhle to dopadá, když se píše o něčem, o čem někdo nemá ani páru. Přitom si stačí přečíst tu prvotní zprávu a ten bug issue.
Takže chyba nastane (laicky řečeno) pouze tehdy, pokud se použije už dříve předalokovaná proměnná v kombinaci s exponentem 1 (a takový příklad ve standardní knihovně není). Ještě probíhají analýzy v rozšiřujících knihovnách (třeba protokol otr) , ale podle prvních analýz to vypadá, že se chyba netýká ani jich.
