|
2.11, User294 (ok), 15:53, 25/11/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Ну что, глумились над Debian ... теперь получи и распишись :)
+1 =).Секурити вообще не особо выигрышная тема для понтов.Как только попонтуетесь - так вскоре будет стыдно когда к вам в огород влетит ничуть не меньший булыжник.На самом деле в *любой* достаточно большой и сложной системе будут проблемы.Просто потому что людям свойственно ошибаться.
| |
|
3.12, SunRock (?), 18:07, 25/11/2008 [^] [^^] [^^^] [ответить]
| +/– |
Ну на то и дети чтобы шуметь :)
Нормальные суровые сибирские мужики знают - ломается всё. Вопрос только в том как быстро и как часто ,)
| |
|
4.13, User294 (??), 18:16, 25/11/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Ну на то и дети чтобы шуметь :)
Я не виноват что вы расшумелись...
>как быстро и как часто ,)
А дважды два равно четыре.Вы прикиньте?!Кстати а чего это вы одноглазый?
"Я знаю технику безопасности как свои 3 пальца" ? =)
| |
|
|
|
1.3, Hety (??), 11:57, 25/11/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
это поди еще поймай продакшн сервак в первые 5 минут :) да и ребуты-то бывают раз в пару месяцев. Хорошо, что пофиксили.
| |
|
2.6, Дмитрий Ю. Карпов (?), 13:13, 25/11/2008 [^] [^^] [^^^] [ответить]
| +/– |
Сказано же: есть резидентные программы, которые считывают рандомные числа именно при загрузке системы, и потом используют их достаточно долго.
| |
|
3.8, Andrew Kolchoogin (?), 14:02, 25/11/2008 [^] [^^] [^^^] [ответить]
| +/– |
> Сказано же: есть резидентные программы, которые считывают рандомные числа именно
> при загрузке системы, и потом используют их достаточно долго.
Имеют полное законное право. "Юникс не будет Вам мешать прострелить себе ногу, если Вы того хотите". Нормально написанные подсистемы используют Yarrow. arc4random() _expected to be_ cryptographically strong. Но не proven to be. :)
Я бы не назвал это уязвимостью. Это особенность реализации подсистемы. Все-таки, опираться на высокую степень энтропии датчика псевдослучайных чисел (пусть даже и учитывая то, что он время от времени ресидится с Yarrow) -- это как-то стремно...
| |
|
4.14, User294 (??), 18:23, 25/11/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Имеют полное законное право. "Юникс не будет Вам мешать прострелить себе ногу,
>если Вы того хотите".
Да, но все-таки раскладывать на полках в магазине заряженные боевыми патронами пистолеты - неправильно, а?Кстати а что, в бзде как основа рандома юзается ARC4 он же arcfour?Если да - зря они так, на него нынче у криптографов многовато предъяв уже накопалось.Не удивлюсь если его криптографы вскоре основательно распетрушат.Единственное для чего нынче годится RC4 - обфускация протоколов, потому что быстрый и прочие не особо ответственные но критичные к скорости применения.В остальных случаях его юзежа в 2008 году по-моему стоит избегать от греха подальше.
| |
|
3.9, Andrew Kolchoogin (?), 14:19, 25/11/2008 [^] [^^] [^^^] [ответить]
| +/– |
А вот за панику в GEOM_ELI можно и по шапке получить. Внимательный анализ sys/geom/eli/g_eli_ctl.c показывает, что arc4rand() используется ровно в трех местах: в функции инициализации GEOM-провайдера с _несохраняемыми_ данными (ну, криптованного свопа), в функции удаления ключа GEOM-провайдера и в функции отключения GEOM-провайдера с несохраняемыми данными, причем в последних двух случаях -- для того, что бы ЗАТЕРЕТЬ валидный ключ! Перед тем, как затереть его нулями. Чтобы нельзя было заморозить ОЗУ в жидком азоте и прочитать непосредственно.
Могли бы и в исходники посмотреть, что ли...
| |
|
|
1.4, Andrew Kolchoogin (?), 12:22, 25/11/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот интересно. А кто-нибудь arc4random(9), вообще-то, прочитать, хотя бы, удосужился?
===
The arc4random() is a convenience function which calls arc4rand() to
return a 32 bit pseudo-random integer.
===
Датчик псевдослучайных чисел -- не лучший источник энтропии для криптографии. Если вам необходим _действительно_ качественный источник случайных чисел -- не используйте arc4random().
| |
|
2.5, Осторожный (ok), 13:08, 25/11/2008 [^] [^^] [^^^] [ответить]
| +/– |
Действительно - тебе не мешает самому сначала прочитать
arc4random(9) is a generic-purpose random number generator based on the
key stream generator of the RC4 cipher. It is expected to be
cryptographically strong, and used throughout the FreeBSD kernel for a
variety of purposes, some of which rely on its cryptographic strength.
arc4random(9) is periodically reseeded with entropy from the FreeBSD
kernel's Yarrow random number generator, which gathers entropy from a
variety of sources including hardware interrupts. During the boot
process, additional entropy is provided to the Yarrow random number
generator from userland, helping to ensure that adequate entropy is
present for cryptographic purposes.
| |
|
3.7, Andrew Kolchoogin (?), 13:58, 25/11/2008 [^] [^^] [^^^] [ответить]
| +/– |
> Действительно - тебе не мешает самому сначала прочитать
Спасибо, без сопливых разберусь, что мне не мешает сделать. Цитату из мана я привел в своем предыдущем посте.
| |
|
|
|