Toituus SSL -haavoittuvuudesta ?

Ensin oli HeartBleed.

Ja nyt uudempana havaintona DROWN-hyökkäys.

Linkkejä:

Kyberturvallisuuskeskus:
https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2016/haavoittuvuus-2016-030.html

Testisivu:
https://drownattack.com/#check

The Register:
http://www.theregister.co.uk/2016/03/01/drown_tls_protocol_flaw/

IL: Netin salausprotokollasta paljastui vakava haavoittuvuus - miljoonat nettisivut vaarassa:
http://www.iltalehti.fi/digi/2016030221204404_du.shtml

Iltalehden artikkeli ainakin sotkee asiat tehokkaasti.

Iltalehti kun väittää, että *salausprotokollasta* olisi löytynyt vakava haavoittuvuus!

JOS tuo olisi totta, niin esim. verkkopankit jouduttaisiin turvallisuussyistä sulkemaan pitkäksi aikaa, vähintään useiksi kuukauksiksi !

Todennäköisempää kuitenkin on, että (jälleen kerran) paljastui, että OpenSSL -toteutuksesta löytyi haavoittuvuus. Eli jos et käytä OpenSSL:ää, vaan esim. jotain kaupallista ratkaisua tai talon sisällä OIKEIN tehtyä ratkaisua, niin palvelimesi ja sen käyttäjät ovat edelleen turvassa.

Ilmeisesti OpenSSL:n kehittäjät joko eivät ole ammattitaitoisia tai sitten periaatteena on ollut, että koska kyse on ilmaistuotteesta, niin ei ole edes haluttu taata 100% turvallisuutta, vaan ehkä samat tekijät ovat tehneet toisen, erinimisen SSL -ratkaisun, jota myydään ihan rahalla, ja joka on turvallinen, mutta ilmaisversio OpenSSL ihan tarkoituksella ei ole.

Itse ainakin kyseenalaistaisin koko OpenSSL:n turvallisuuden, koska toistuvat haavoittuvuudet osoittavat, ettei kehitykseen ole panostettu riittävästi ja/tai onpanostettu väärällä tavalla.

Mikä sitten olisi paras tapa arvoida jonkun salausohjelmiston tai salauskirjaston (joka siis on tarkoitettu toimimaan jonkin toisen ohjelmiston osana) turvallisuutta ?

Miten löytää KAIKKI mahdolliser heikkoudet, tai saada varma tieto siitä, ettei heikkouksia ole ?

Kannattaa muuten miettiä, mikä jenkkien NSA:n mielestä olisi paras mahdollinen salausjärjestelmä.

Käsittääkseni paras salaus olisi NSA:n mielestä sellainen, joka:

* aukeaa salauksenomistajan salausavaimella (tarkemmin ns. avausavaimella, jos kyse on ns. julkisen avaimen salauksesta).

* aukeaa NSA:n oman "takaoven" avulla helposti, nopeasti ja varmasti

* EI AUKEA lainkaan millään muulla kuin kahdella ylläolevalla tavalla.

* ns. Brute force -hyökkäyksella salaus joko ei aukea, tai ainakin avaaminen vaatisi yli miljardi vuotta sekä kaiken maailmankaikkeuden energian.

Haluaisitko sinä tällaisen salauksen käyttöösi, jonka voi avata:

1) sinä itse

2) se/ne henkilöt, joille olet antanut avausavaimen

3) jenkkien NSA

mutta kukaan muu ei voi avata salaustasi mitenkään eikä koskaan.

NSA:n mukaan tuollainen salaus olisi täydellinen, koska sivulliset eivät sitä voi avata lainkaan, mutta jos esim. terroristit salaavat suunnitelma-asiakirjojaan tuollaisella, niin NSA itse kykenee helposti ja nopeasti avaamaan salauksen, ja näin pääsemään perille terroristien suunnitelmista jo ennen suunnitelmien toteuttamista.

Haluatko sinä luottaa 100% siihen, että NSA ei missään olosuhteissa käytä takaoveaan mihinkään muuhun tarkoitukseen, kuin terrorismin ehkäisemiseen ?

Tiesitkö muuten, että rikkaiden jenkkien (jotka omistavat merkittäviä määriä hallitsevien suuryritysten osakkeita) mielestä esim. musiikin tai elokuvien piraattikopiointi ja -jakelu on täysin rinnastettavissa terrorismiin.

ko. toimet ovat toki lainvastaisia ja niistä voidaan tuomita rangaistukseen, mutta onko siltikään oikein pitää musiiki- ja elokuvapiratismia terrorismina ?