Závažná chyba v TLS/SSL implementaci od Apple

Jak může klient komunikovat se servrem prostřednictvím veřejného klíče ke kterému server nemá tajný klíč? Nějak jsem zprávičku nepochopil.

Přečti si ten odkazovaný článek.

This signature verification is checking the signature in a ServerKeyExchange message. This is used in DHE and ECDHE ciphersuites to communicate the ephemeral key for the connection. The server is saying “here's the ephemeral key and here's a signature, from my certificate, so you know that it's from me”. Now, if the link between the ephemeral key and the certificate chain is broken, then everything falls apart. It's possible to send a correct certificate chain to the client, but sign the handshake with the wrong private key, or not sign it at all! There's no proof that the server possesses the private key matching the public key in its certificate.

Žádné pochyby: na druhé straně je NSA.

Přesně tak. Asymetrické šifrování je náročné na výkon, proto se u interaktivních spojení (= obě strany spolu komunikují ve stejnou dobu) asymetrické používá jen pro autorizaci a veškerý provoz se šifruje symetrickým algoritmem. Je to tak u TLS, SSH i třeba OTR.

Nejen u interaktivních, PGP taky zašifruje symetrický klíč asymetricky a pak s ním zašifruje tělo zprávy.

"k vlastnímu přenosu dat si strany dohodnou sdílené tajemství"
Domníval jsem se, že k této domluvě užije klient veřejného klíče serveru (který je součásti certifikátu). Hmm, takže celý mechanizmus je asi jiný než jsem se domníval. K čemu je tedy veřejný klíč zaznamenaný v certifikátu? To se tento klíč neužije k žádnému kryptování? To ten certifikát slouží opravdu jen k ověření totožnosti?

„Hmm, takže celý mechanizmus je asi jiný než jsem se domníval.“

Tohle není „staré“ SSL, tohle souvisí s Perfect Forward Secrecy.

„K čemu je tedy veřejný klíč zaznamenaný v certifikátu? To se tento klíč neužije k žádnému kryptování?“

Ne, ten slouží jen k podpisu session klíče, který si strany sjednají přes D-H.

"Ne, ten slouží jen k podpisu session klíče..."
uff, ještě jsem neslyšel, že by se veřejný klíč užíval k podpisu - doufám, že tam máte nějakou nepřesnost ve vyjádření

Co mám udělat, abych se z Linuxu k takovému serveru naopak _mohl_ připojit, když chci? openssl to nedalo, možná se musí něco zapnout.

Safari 5.1.10 (posledna verzia dostupna v poslednej dobrej verzii Mac OS X - 10.6.8) postihnute nie je. Safari 7.0.1 z OS X 10.9 (co je aj tak piece of crap) postihnute je.