The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Надёжность OpenVPN будет проверена в ходе аудита"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от opennews (??) on 09-Дек-16, 11:37 
Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, сообщил (https://ostif.org/openvpn-audit-updates-news-and-more/) об успешном ходе сбора средств для оплаты проведения полного независимого аудита механизмов шифрования, применяемых в пакете OpenVPN (https://openvpn.net/) (за две недели собрано 34 тысячи долларов из запланированных 71 тысячи). Начало работы намечено на январь 2017 года.  Работа будет выполнена французской компанией QuarksLab, которая уже привлекалась для аутида проекта VeraCrypt и находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки.


Кроме того, стало известно (https://www.privateinternetaccess.com/blog/2016/12/private-i.../) об ещё одной инициативе проведения аудита OpenVPN, инициированной группой VPN-провайдеров. Проверка затронет ветку OpenVPN 2.4, которая пока находится на стадии тестирования кандидата в релизы (https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24). Координацией проведения аудита займётся Мэттью Грин (Matthew Green (https://en.wikipedia.org/wiki/Matthew_D._Green)), инициатор аудита TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe (https://www.opennet.me/opennews/art.shtml?num=39446), Dual_EC_DRBG (https://www.opennet.me/opennews/art.shtml?num=38768), Speedpass и EZpass.

Попытки организации совместной работы группы VPN-провайдеров и OSTIF пока не увенчались успехом. Аудит OSTIF подразумевает организацию закрытого взаимодействия между авторами и проверяющими, для предотвращения досрочных утечек сведений о выявленных в процессе аудита проблемах и оперативного исправления ошибок по мере их выявления. Со своей стороны, группа VPN-провайдеров заверила пользователей, что вначале результаты проверки будут направлены разработчикам OpenVPN, и только после исправления выявленных ошибок, отчёт о выполненном аудите будет представлен публично. Кроме того, вопросы вызывает ангажированность проверяющих - ожидается что аудит от группы VPN-провайдеров будет выполнен специалистами NCC Group Cryptography Services, в то время как некоторые разработчики OpenVPN работают в компании FoxIT, которая является подразделением NCC Group.


URL: https://ostif.org/openvpn-audit-updates-news-and-more/
Новость: http://www.opennet.me/opennews/art.shtml?num=45646

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Надёжность OpenVPN будет проверена в ходе аудита"  –1 +/
Сообщение от Аноним (??) on 09-Дек-16, 11:37 
Аудил L2TP и IPSec уже проводили? Как оно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Надёжность OpenVPN будет проверена в ходе аудита"  +3 +/
Сообщение от Andrew (??) on 09-Дек-16, 11:56 
"Чистый" L2TP - дырка, такая же, как и PPTP (вектор и стоимость атаки- идентичные). Про IPsec написано уже овердофига исследований, есть известные... скажем так, недоработки, но "правильно приготовленный" IPsec пока выглядит надежным. L2TP/IPsec, теоретически, должен быть настолько же надежным (или насколько же дырявым), как и "чистый" IPsec.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "Надёжность OpenVPN будет проверена в ходе аудита"  +1 +/
Сообщение от йцукен (??) on 09-Дек-16, 16:04 
> "правильно приготовленный" IPsec пока выглядит надежным

Стоит отметить, что IPsec с PSK трудно отнести к надёжным. Только сертификаты.

Кроме того, если вам не требуется именно L2 туннель, то L2TP нафиг не нужен, достаточно голого IPsec, благо современные ОС это давно умеют.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

37. "Надёжность OpenVPN будет проверена в ходе аудита"  +1 +/
Сообщение от Аноним (??) on 10-Дек-16, 14:57 
Уметь-то умеют, вот только ipsec без vti - это боль
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

39. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от Аноним (??) on 12-Дек-16, 01:25 
> Аудил L2TP и IPSec уже проводили? Как оно?

Никак. Первое никогда и не позиционировалось как что-то надежное, второе слишком сложное и муторное чтобы иметь какой либо смысл вообще. Это означает что лажа случится еще на этапе конфигурации. Примерно как с SSL/TLS.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Надёжность OpenVPN будет проверена в ходе аудита"  +1 +/
Сообщение от A on 09-Дек-16, 12:09 
Как будто французу невозможно сделать предложение, от которого он не сможет отказаться, пока он на конференции в Сан-Франциско себя тяпкой в грудь бьет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Надёжность OpenVPN будет проверена в ходе аудита"  –2 +/
Сообщение от 1 (??) on 09-Дек-16, 12:21 
Француза придется покупать, а своему можно приказать
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Надёжность OpenVPN будет проверена в ходе аудита"  –7 +/
Сообщение от Меломан1 on 09-Дек-16, 12:45 
Разве в России принуждают использовать шпионское ПО? Сейчас можно загреметь на всю катушку за это. Должен сказать, что поддерживаю инициативы правительства по поддержке ИТ, но их не хватает, очевидно. Если бы правительство договорилось с Fujitsu о переносе части производств в Россию, SPARC процессоры и системные платы, ну и др. нау-хау.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Надёжность OpenVPN будет проверена в ходе аудита"  +9 +/
Сообщение от Andrey Mitrofanov on 09-Дек-16, 12:57 
>использовать шпионское ПО? Сейчас можно загреметь на всю катушку за это

Посадки за Майкросоувт уже были, я пропустил?!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Надёжность OpenVPN будет проверена в ходе аудита"  –1 +/
Сообщение от Аноним (??) on 09-Дек-16, 13:47 
Дались вам эти SPARCи. Пусть лучше с TSMC договариваются о переносе части производства, чтом Эльбрусы, Байкалы и КОМДИВы-64 выпекать.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Надёжность OpenVPN будет проверена в ходе аудита"  –1 +/
Сообщение от Меломан1 on 09-Дек-16, 14:20 
> Дались вам эти SPARCи. Пусть лучше с TSMC договариваются о переносе части
> производства, чтом Эльбрусы, Байкалы и КОМДИВы-64 выпекать.

Не возможно. 90% серверных мощностей мирового бизнеса задействовано на этой архитектуре.
8% - Это IBM, но до него никому нет дела, как и ему до всего мира.


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

36. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от cmp (ok) on 10-Дек-16, 14:19 
90%? вау, а где? у нас 2 последних спарка переехали на помойку пару лет назад, щас все на виртуализации, ит рубят целыми подразделениями.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

41. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от Аноним (??) on 12-Дек-16, 01:29 
> 90% серверных мощностей мирового бизнеса задействовано на этой архитектуре.

...столица переезжает в Нью-Васюки.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

40. "Надёжность OpenVPN будет проверена в ходе аудита"  +1 +/
Сообщение от Аноним (??) on 12-Дек-16, 01:27 
> Fujitsu о переносе части производств в Россию, SPARC процессоры и системные
> платы, ну и др. нау-хау.

В духе этого правительства было бы запретить ввоз в РФ процессоров и обязать покупать эльбрусы за тридцатник. А в чем эта "поддержка IT" заключается, кстати?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

6. "Надёжность OpenVPN будет проверена в ходе аудита"  –3 +/
Сообщение от Аноним (??) on 09-Дек-16, 12:30 
Как будто у лягушатников нет своих КГБ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Надёжность OpenVPN будет проверена в ходе аудита"  –1 +/
Сообщение от manster (ok) on 09-Дек-16, 12:34 
Если исходить из статистики количества уязвимостей и дыр на проект, то явно такие проекты как adobe flash (хоть и не открытый), openssl, всякие библиотеки для xml, регулярок и другие, нуждаются в независимом аудите в первую очередь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Надёжность OpenVPN будет проверена в ходе аудита"  –1 +/
Сообщение от Аноним (??) on 09-Дек-16, 14:44 
Интересно - ГОСТ-овскую сборку проверяли? Не думаю, что французы чего найдут...
Открытый используем.

СКЗИ "МагПро КриптоПакет" в. 2.1 в комплектации "МагПро OpenVPN-ГОСТ"
http://www.cryptocom.ru/products/openvpn.html
выдан на СКЗИ «МагПро КриптоПакет» версии 2.1 по классам КС1 и КС2.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Надёжность OpenVPN будет проверена в ходе аудита"  –1 +/
Сообщение от manster (ok) on 09-Дек-16, 15:23 
Надо. Причем в обязательном порядке, публично и независимо, иначе получается что-то близкое к security by obscurity и ставит под сомнения всю целесообразность и эффективность вместе со всеми сертификациями ...
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от Аноним (??) on 09-Дек-16, 22:42 
OpenVPN идет под лицензией GPLv2. Что-то я на их сайте не увидел модифицированных исходников. Сперли код и стригут бабло.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

34. "Надёжность OpenVPN будет проверена в ходе аудита"  –1 +/
Сообщение от Elhana (ok) on 10-Дек-16, 01:11 
Купите, должны дать исходники вместе с покупкой. А на сайте они выкладывать не обязаны.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от Аноним (??) on 10-Дек-16, 12:14 
На сайте можно скачать демо-версию, в которой есть только бинарники. Так что тут явное нарущение GPL.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

42. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от Аноним (??) on 12-Дек-16, 01:30 
> СКЗИ "МагПро КриптоПакет" в. 2.1 в комплектации "МагПро OpenVPN-ГОСТ"

Одно только название этого пакета намекает что его использование для, собственно, защиты информации - заявка на залет.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

20. "Надёжность OpenVPN будет проверена в ходе аудита"  –4 +/
Сообщение от Анонимум on 09-Дек-16, 14:59 
А чего его аудитить-то? Если верить кулхацкерам из соседней темы, то он расшифровывается в МИТМе на ура.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Надёжность OpenVPN будет проверена в ходе аудита"  +4 +/
Сообщение от Аноним (??) on 09-Дек-16, 15:51 
А кулхацкеры твои диванные - они кто?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Надёжность OpenVPN будет проверена в ходе аудита"  +2 +/
Сообщение от Andrey Mitrofanov on 09-Дек-16, 16:52 
> А кулхацкеры твои диванные - они кто?

Такие же, как оно само, флудорасы, истончённые до полного истирания иронизаторы, вруны-болтуны и записные форумные криптографы.  Да, и вообще, мы замечательные общечеловеки, вот, сами убедитесь:  http://www.opennet.me/openforum/vsluhforumID3/109852.html#45

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

43. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от Аноним (??) on 12-Дек-16, 01:33 
> расшифровывается в МИТМе на ура.

В дефолтной конфиге зачастую так и есть. Если mitm может стать клиентом - у него есть клиентский серт, подписанный той же CA. Прикол в том что без дополнительной подсказки в конфиге - openvpn тип серта не проверяет. И любой клиент может в два счета сделать именно это самое. Лечится, НО это ж надо в наворотах SSL/TLS и openvpn разбираться. Сколько человек так умеет - ну ты понял.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "Надёжность OpenVPN будет проверена в ходе аудита"  +7 +/
Сообщение от VPN Power on 09-Дек-16, 19:41 
Вот вам ништяки - наслаждайтесь.

https://shadowsocks.org/en/index.html

https://habrahabr.ru/post/208782/

https://www.softether.org/

https://www.opennet.me/opennews/art.shtml?num=43633

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Надёжность OpenVPN будет проверена в ходе аудита"  –1 +/
Сообщение от Нанобот (ok) on 09-Дек-16, 19:55 
Ниочём. Вот как проверят, тогда и пишите новость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Надёжность OpenVPN будет проверена в ходе аудита"  –1 +/
Сообщение от Аноним (??) on 12-Дек-16, 00:20 
Не нравится мне эта новость, вспомните, чем в итоге закончилась проверка Truecrypt-a.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от лютый жабист___ on 12-Дек-16, 08:37 
Одноразовые шифрблокноты никто не победит. 8) Интересно, почему нет во всех дистрибах такого софта?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от лютый жабист___ on 12-Дек-16, 08:39 
Т.е. максимально деревянный туннель, ты сам генеришь энтропию на source, на дискетке, обернутой фольгой везёшь на destination и вуаля!
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

47. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от Аноним (??) on 10-Мрт-17, 17:40 
несколько гигов одноразовых блокнотов пожатых архиватором хватит для защищенного месседжера на всю жизнь. Но почему то этой функцией не пользуется ни кто.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

46. "Надёжность OpenVPN будет проверена в ходе аудита"  +/
Сообщение от Аноним (??) on 10-Мрт-17, 17:38 
Интересно, чем дело кончилось?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру