Security Lab

Наследование дырки

Наследование дырки
Субстанция, накинутая Сноуденом на вентилятор (ещё до того момента, когда с него взяли обещание не гадить в сторону США), начинает портить атмосферу. В частности, он тогда рассказал про закладку не где-нибудь, а в стандарте, утверждённом NIST. Институт дырку признал. Назвали имя алгоритма: Dual_EC_DRBG. Теперь начинают признаваться компании, реализовавшие ущербный алгоритм. Первой была "RSA Security", ожидается "Майкрософт".
       

Возможна ли такая ситуация в России? Предпосылки-то есть. Но если произойдёт, то покаянные признания мы вряд ли услышим – как от органа стандартизации, так и от разработчиков. Можем даже услышать нечто обратное. Иллюстрирую примером.

В одной знакомой компании сделали продукт с шифрованием. ФСБ, лицензиатом которой компания являлась, потребовала, чтобы в версии продукта "не для гостайны" шифрование было ослаблено до уровня "56 бит". Это можно было осуществить сотней способов. Какой же выбрали разработчики? Истинно русский человек догадается с одного раза. Ограничили длину пароля, из которого делался ключ шифрования. Причём ограничение это снималось без следа правкой всего двух байтов исполняемого кода. Каких именно байтов – узнать легче лёгкого, если только вас не забанили в Яндексе.

Это вам про строгость законов. А про обязательность – вторая история, её ваш покорный слуга слышал в 1984 году от ветерана, вместе с которым лежал в больнице.

Наш герой попал в плен в 1942-м и через некоторое время был отправлен на работы в трудовой лагерь где-то в Бельгии или Голландии. По пути ему удалось бежать из эшелона, но далеко не ушёл: из-за голода и мороза свалился без сил и замёрз бы, но подобрали местные жители. Добрые европейцы унесли в дом, вылечили, выходили, накормили. А после окончательного выздоровления честно сдали пленного оккупационным властям. Закон превыше всего.

Я это к тому, что сомнений нет – уязвимость была реализована честно. Честно ли будут её вычищать из сотен продуктов – тоже сомнений нет.

криптография утечки НДВ
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

InfoWatch

Блог компании infowatch infowatch.livejournal.com