The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Google опубликовал библиотеку для выявления проблемных криптографических ключей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google опубликовал библиотеку для выявления проблемных криптографических ключей"  +/
Сообщение от opennews (ok), 26-Авг-22, 09:36 
Участники Google Security Team опубликовали  открытую библиотеку Paranoid, предназначенную для выявления ненадёжных криптографических артефактов, таких как открытые ключи и цифровые подписи, созданных в уязвимых аппаратных (HSM) и программных системах. Код написан на языке Python и распространяется под лицензией Apache 2.0...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57679

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  +2 +/
Сообщение от dullish (ok), 26-Авг-22, 09:36 
Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  +1 +/
Сообщение от anonymous (??), 26-Авг-22, 09:38 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +2 +/
Сообщение от Жироватт (ok), 26-Авг-22, 09:48 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. Скрыто модератором  +2 +/
Сообщение от пох. (?), 26-Авг-22, 09:55 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Google опубликовал библиотеку для выявления проблемных крипт..."  +3 +/
Сообщение от Аноним (3), 26-Авг-22, 09:46 
Хоть кто-то пишет полезный софт.
Ответить | Правка | Наверх | Cообщить модератору

5. "Google опубликовал библиотеку для выявления проблемных крипт..."  +1 +/
Сообщение от Жироватт (ok), 26-Авг-22, 09:52 
В чем полезность?
Нет, кроме шуток, в чем полезность, если реальные проблемы с т.н. "криптоартефактами" будут скрывать по просьбе незаметного человечка из комнаты 101А.
Ответить | Правка | Наверх | Cообщить модератору

8. "Google опубликовал библиотеку для выявления проблемных крипт..."  +3 +/
Сообщение от Аноним (3), 26-Авг-22, 10:03 
Это не менее реальные проблемы, о которых любители сферического дебиана могут и не знать. Чем больше проблем, тем более широкий круг лиц может их использовать.
Ответить | Правка | Наверх | Cообщить модератору

15. "Google опубликовал библиотеку для выявления проблемных крипт..."  +2 +/
Сообщение от Аноним (15), 26-Авг-22, 13:25 
> Информация ... об ... сертификатах направлена удостоверяющим центрам для их отзыва.

Теперь гугл решает, какой сертификат - правильный... Прям Министерство Правды ("1984").

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

16. "Google опубликовал библиотеку для выявления проблемных крипт..."  –2 +/
Сообщение от вакцина (?), 26-Авг-22, 14:23 
Нет, в этом контексте он не решает, а предлагает всем желающим самим проверять свои сертификаты.
Ответить | Правка | Наверх | Cообщить модератору

25. "Google опубликовал библиотеку для выявления проблемных крипт..."  +4 +/
Сообщение от Аноним (15), 26-Авг-22, 15:53 
Он не предлагает, а действует:

> Информация об сертификатах направлена удостоверяющим центрам для их отзыва.

Ответить | Правка | Наверх | Cообщить модератору

9. "Google опубликовал библиотеку для выявления проблемных крипт..."  +2 +/
Сообщение от Бывалый смузихлёб (?), 26-Авг-22, 10:21 
>  Информация об остающихся в обиходе проблемных сертификатах направлена удостоверяющим центрам для их отзыва

Самое примечательно как всегда в конце. Почти как в той песне про День Выборов

Ответить | Правка | Наверх | Cообщить модератору

14. "Google опубликовал библиотеку для выявления проблемных крипт..."  –1 +/
Сообщение от Аноним (14), 26-Авг-22, 10:44 
> Google опубликовал библиотеку для выявления проблемных криптографических ключей

проблемных с точки зрения гугла

Ответить | Правка | Наверх | Cообщить модератору

29. "Google опубликовал библиотеку для выявления проблемных крипт..."  –2 +/
Сообщение от Аноним (29), 26-Авг-22, 17:56 
У Гугла, судя по твоему комменту, какая-то своя волшебная криптография, несовместимая с твоей?
Ответить | Правка | Наверх | Cообщить модератору

36. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от bOOster (ok), 27-Авг-22, 08:30 
Причем тут криптография? Сами сертификаты, их содержимое, их хранилища, центры сертификации и т.д. весьма косвенное отношение к криптографии как таковой имеют.
Сертификаты - набор OID-ов - которые администратор может в целом сам создавать и включать в сертификат, и наверняка гугл их будет браковать - мол несоответствующие "Нашим" стандартам...  
Ответить | Правка | Наверх | Cообщить модератору

37. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (29), 27-Авг-22, 21:38 
Ну всё забраковал уже, даже не одну тысячу. Дальше-то что? Публичные УЦ вроде Let's Encrypt тебе лично ничего не должны и даже не обещали, впрочем как и Гуглу. Не нравятся чьи-то правила — не пользуйся. УЦ как грязи, сертификаты с любыми прибамбасами стоят копейки. Рынок сертификатов перенасыщен уже лет десять, если не пятнадцать. В конце концов, подними свой PKI как большинство в итоге делает. Но тебе ж просто побубнить на опеннете про то, какой Гугл плохой, да?
Ответить | Правка | Наверх | Cообщить модератору

38. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от bOOster (ok), 28-Авг-22, 09:43 
> Ну всё забраковал уже, даже не одну тысячу. Дальше-то что? Публичные УЦ
> вроде Let's Encrypt тебе лично ничего не должны и даже не
> обещали, впрочем как и Гуглу. Не нравятся чьи-то правила — не
> пользуйся. УЦ как грязи, сертификаты с любыми прибамбасами стоят копейки. Рынок
> сертификатов перенасыщен уже лет десять, если не пятнадцать. В конце концов,
> подними свой PKI как большинство в итоге делает. Но тебе ж
> просто побубнить на опеннете про то, какой Гугл плохой, да?

Че за чушь ты пишешь? Тебе сообщение назад написали что именно такие сертификаты как выпущенные своим PKI и будет блочить гугл, об этом и разговор..
Смотришь в книгу видишь фигу?

Ответить | Правка | Наверх | Cообщить модератору

17. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (17), 26-Авг-22, 14:56 
Выявление осуществляется путём отправки ключей на серверы гугла и дальнейшего анализа
Ответить | Правка | Наверх | Cообщить модератору

20. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от anonymous (??), 26-Авг-22, 15:37 
И что? Ключи общедоступны.
Ответить | Правка | Наверх | Cообщить модератору

22. "Google опубликовал библиотеку для выявления проблемных крипт..."  –1 +/
Сообщение от Аноним (15), 26-Авг-22, 15:51 
Ты путаешь "открытый" и "общедоступный". Ещё часто путают "открытый" и "свободный".
Ответить | Правка | Наверх | Cообщить модератору

26. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от anonymous (??), 26-Авг-22, 16:01 
>> Public-key cryptography, or asymmetric cryptography, is a cryptographic system that uses pairs of keys. Each pair consists of a public key (which may be known to others) and a private key (which may not be known by anyone except the owner).

https://en.wikipedia.org/wiki/Public-key_cryptography

Что тут перепутано? Ключи мэйнтейнеров и прочих разработчиков опубликованы. В том же Арче регулярно удаляются и добавляются фингерпринты ключей. https://archlinux.org/master-keys/

Ответить | Правка | Наверх | Cообщить модератору

35. "Google опубликовал библиотеку для выявления проблемных крипт..."  –2 +/
Сообщение от Аноним (3), 27-Авг-22, 05:28 
May это возможно (а может и нет), may not это жёстко нет (но может и утечь и тогда тоже возможно). Если публичный ключ подразумевался для использования ограниченным кругом лиц, то в данном случае он тоже утекает.
Ответить | Правка | Наверх | Cообщить модератору

18. "Google опубликовал библиотеку для выявления проблемных крипт..."  +1 +/
Сообщение от Аноним (18), 26-Авг-22, 15:14 
>Google Security Team
>открытую библиотеку Paranoid
>для выявления ненадёжных
>таких как открытые ключи и цифровые подписи
>Информация об остающихся в обиходе проблемных сертификатах
>направлена удостоверяющим центрам для их отзыва

Google Security
библиотеку Paranoid
>для выявления
>открытые ключи
>цифровые подписи
>Информация... об проблемных сертификатах
>направлена... центрам для их отзыва
>Google
>Paranoid

Оо-о-оКе-е-ей!

Ответить | Правка | Наверх | Cообщить модератору

19. "Google опубликовал библиотеку для выявления проблемных крипт..."  –1 +/
Сообщение от Аноним (29), 26-Авг-22, 15:25 
В очередной раз Гугл за день делает для безопасности интернета больше, чем все комментаторы опеннета за год.
Ответить | Правка | Наверх | Cообщить модератору

21. "Google опубликовал библиотеку для выявления проблемных крипт..."  +2 +/
Сообщение от Аноним (15), 26-Авг-22, 15:49 
> Информация о проблемных сертификатах направлена центрам для их отзыва

А потом у неугодного сайта - херак! - и не станет сертификата.

Ответить | Правка | Наверх | Cообщить модератору

24. "Google опубликовал библиотеку для выявления проблемных крипт..."  +2 +/
Сообщение от Аноним (24), 26-Авг-22, 15:52 
Если решить проблему жесткой рукой в конце концов эта рука начнет всех душить.  
Ответить | Правка | Наверх | Cообщить модератору

27. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Гугель (?), 26-Авг-22, 17:07 
Ну вот, безопастно же ж сделали вам!

Нет сайта - нет опастностей! Ходите на google.com - он безопастный.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

30. "Google опубликовал библиотеку для выявления проблемных крипт..."  –1 +/
Сообщение от Аноним (29), 26-Авг-22, 17:58 
Ага. Гугл отключит математику у неугодного сайта и сессионный ключ невозможно будет посчитать. Ох уж этот Гугл! Такие затейники.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

23. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (24), 26-Авг-22, 15:51 
За это гуглу деньги и платят. А опеннетчики сидят тут бесплатно. Некоторые за 15 рублей коммент. Некоторые за 7031 рубль за выложенную новость.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

28. "Google опубликовал библиотеку для выявления проблемных крипт..."  +1 +/
Сообщение от Аноним (15), 26-Авг-22, 17:22 
А, точно, местный растаман как раз на своём канале рассказывал, что его творчество про раст вознаграждается.
Ответить | Правка | Наверх | Cообщить модератору

34. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (34), 27-Авг-22, 02:56 
Аноним неплохо зарабатывает, надо бы его замотивировать делиться.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

33. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Мимокрокодилъ (?), 26-Авг-22, 23:29 
> В очередной раз Гугл за день делает для безопасности интернета больше, чем
> все комментаторы опеннета за год.

Очередной день рандомному анону из опеннета не дают покоя рандомные же комментарии на опеннете.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

40. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (40), 01-Сен-22, 19:11 
> В очередной раз Гугл за день делает для безопасности интернета больше, чем все комментаторы опеннета за год.

Да, одной строкой на баше могу сделать для корректности ключей больше чем гугл за год.

Держите генератор рандома для криптухи, без зондов rng-time.sh:


#!/bin/bash

# Free for not commercial usage.
# Свободна для некомерческого использования, комерческое использование может быть разрешено только c письменного согласия.

while [ True == True ]
  do
    echo `date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%s` |openssl dgst -sha512 -binary
  done

На основе системного времени с наносекундным разрешением строем число от 0 до 77 цифр - вероятность повторения 1/10^77 с которой берем хеш (можно SHA512 сменить на другой) с вероятностью повторения 1/16^64 - которая и есть показателем надёжности нашего генератора псевдослучайных чисел (prng).

Установив  пакет rng-tools c програмой rngtest можно протестировать или просеять полученный рандом согласно FIPS-140-2:


rng-time.sh |dd of=random_urandom iflag=fullblock bs=1250w count=100000 status=progress
dd if=random_time status=none |rngtest

для сравнения смотрим стандартный:

dd if=/dev/urandom of=random_urandom bs=1250w count=100000 status=progress
dd if=random_urandom status=none |rngtest

и улучшенный стандартный:

dd if=/dev/urandom status=none |rngtest --pipe |dd of=random_urandom bs=1250w count=100000 status=progress
dd if=random_urandom status=none |rngtest

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

41. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (41), 01-Сен-22, 19:32 
У кого есть свободный комп с помощью rng-time.sh можно проверить и разные хеши:


#!/bin/bash

# Free for not commercial usage.
# Свободна для некомерческого использования, комерческое использование может быть разрешено только c письменного согласия.

while [ True == True ]
  do
    echo `date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%s` |openssl dgst -binary $1
  done

BLAKE2B
SHA512
SHA3-512
STRIBOG512
WHIRLPOOL


rng-time.sh -sha512 |dd of=random_SHA512 iflag=fullblock bs=1250w count=100000 status=progress
dd if=random_SHA512 status=none |rngtest

rng-time.sh -whirlpool |dd of=random_WHIRLPOOL iflag=fullblock bs=1250w count=100000 status=progress
dd if=random_WHIRLPOOL status=none |rngtest

Вот прикол будет если у какогото хеша будет слабый рандом ;)

Ответить | Правка | Наверх | Cообщить модератору

42. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (42), 01-Сен-22, 20:12 
Fix.

#!/bin/bash

# Free for not commercial usage.
# Свободна для некомерческого использования, комерческое использование может быть разрешено только c письменного согласия.

while [ True == True ]
  do
    echo `date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N`$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))$((RANDOM %`date +%s`))`date +%N` |openssl dgst -binary $1
  done
[/code

Ответить | Правка | Наверх | Cообщить модератору

43. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (43), 01-Сен-22, 20:47 
Чуть ошибся в оценке. Чтобы выжимать возможный максимум энтропии с хеша надо:
1. Создавать число от 1 до 154 цифры, вероятность повторения - 1/10^154
2, Получаемый псевдорандомный ряд будет как 1/16^128

9 цифр - date +%N - надо 6 раз
5 цифр - $((RANDOM %`date +%s`)) - надо 20 раз
9*6+5*20=154
Кто будет игратся поправте prng-time.sh

Ответить | Правка | Наверх | Cообщить модератору

44. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (44), 03-Сен-22, 17:52 
А если просто:
  date +%-N%s
Получим и скорость и уникальную числовую последовательность, если не учитывать возможную коррекцию системного времени и теоретическое совпадение чисел.
Ответить | Правка | Наверх | Cообщить модератору

45. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (45), 10-Июн-23, 13:01 
> Вот прикол будет если у какогото хеша будет слабый рандом ;)

Статистическое исследование энтропии из контрольных сум: https://www.opennet.me/openforum/vsluhforumID10/5638.html

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

39. "Google опубликовал библиотеку для выявления проблемных крипт..."  +/
Сообщение от Аноним (39), 30-Авг-22, 12:29 
>Bleichenbacher, Daniel

Тот самый.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру