OpenSSL допускает подделку подписей

Широкоиспользуемая технология защиты может некорректно проверять некоторые фальшивые подписи.

Эксперты по безопасности продемонстрировали способ обойти ограничения защиты OpenSSL, подделывая некоторые цифровые подписи. OpenSSL применяется во многих средствах защиты, безопасных веб-серверах и виртуальных частных сетях (VPN).

Технология SSL (secure sockets layer) применяется, в частности, для совершения безопасных операций электронной коммерции. OpenSSL — это open-source реализация SSL и протоколов TLS, причем имеются версии для большинства Unix-подобных операционных систем и Windows. Проект OpenSSL выпустил исправленную версию своего ПО и призывает пользователей установить ее.

Баг влияет только на подписи определенного типа — PKCS #1 v1.5, но они применяются некоторыми центрами сертификации. «Если используется ключ RSA с показателем степени 3, подпись PKCS #1 v1.5, заверенную этим ключом, можно подделать, — говорится в рекомендации OpenSSL. — Так как показатель степени 3 широко используется (центрами сертификации), а PKCS #1 v1.5 применяется в сертификатах X.509, все программное обеспечение, которое использует OpenSSL для проверки сертификатов X.509, потенциально уязвимо». Ошибка влияет на версии OpenSSL до 0.9.7j и 0.9.8b.

Как утверждает секьюрити-фирма Netcraft, этот способ подделки цифровой подписи был впервые продемонстрирован в августе на конференции Crypto 2006 криптографом из Bell Labs Даниэлем Бляхенбахером. OpenSSL успешно подделала некоторые подписи и подготовила исправления с применением Google Security.

Предыдущие публикации:

2004-03-18

В OpenSSL исправлены две ошибки

Обсуждение и комментарии

	VX10 26 Sep 2006 8:52 AM
Как же так? Как же так? Ведь "миллион пар глаз смотрят ваш код и проверяют на наличие ошибок" :-о

	dem 26 Sep 2006 12:08 PM
Да действительно... а ведь могли и не заметить. былоб закрыто как например ICQ дырка былаб годами пользована

	Alexander S. Kharitonov 26 Sep 2006 4:19 PM
2 VX10: > Как же так? Как же так? > Ведь "миллион пар глаз смотрят ваш код и проверяют на наличие ошибок" :-о Так вот, посмотрели, заметили, исправили. Конечно хотелось бы чтобы ошибка была найдена гораздо раньше, до того, как уязвимая версия попала к пользователям, но бывают ли сложные программы без ошибок?

	Прохожий 4 Oct 2006 7:56 PM
2 Alexander S. Kharitonov По утверждению некоторых идиотов - бывают, особенно, если эти сложные программы в открытых кодах. Открытые коды - это ж 100-процентная гарантия стабильности и надежности. Каждый ламер может посмотреть коды и исправить ошибку. Вот так утверждают некоторые идиоты.

← август 2006

19 20 21 22 25 26 27 28 29

октябрь 2006 →