Toituus SSL -haavoittuvuudesta ?

Ammattitaitoa_Salaukseen

Ensin oli HeartBleed.

Ja nyt uudempana havaintona DROWN-hyökkäys.

Linkkejä:

Kyberturvallisuuskeskus:
https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2016/haavoittuvuus-2016-030.html

Testisivu:
https://drownattack.com/#check

The Register:
http://www.theregister.co.uk/2016/03/01/drown_tls_protocol_flaw/

IL: Netin salausprotokollasta paljastui vakava haavoittuvuus - miljoonat nettisivut vaarassa:
http://www.iltalehti.fi/digi/2016030221204404_du.shtml

Iltalehden artikkeli ainakin sotkee asiat tehokkaasti.

Iltalehti kun väittää, että *salausprotokollasta* olisi löytynyt vakava haavoittuvuus!

JOS tuo olisi totta, niin esim. verkkopankit jouduttaisiin turvallisuussyistä sulkemaan pitkäksi aikaa, vähintään useiksi kuukauksiksi !

Todennäköisempää kuitenkin on, että (jälleen kerran) paljastui, että OpenSSL -toteutuksesta löytyi haavoittuvuus. Eli jos et käytä OpenSSL:ää, vaan esim. jotain kaupallista ratkaisua tai talon sisällä OIKEIN tehtyä ratkaisua, niin palvelimesi ja sen käyttäjät ovat edelleen turvassa.

Ilmeisesti OpenSSL:n kehittäjät joko eivät ole ammattitaitoisia tai sitten periaatteena on ollut, että koska kyse on ilmaistuotteesta, niin ei ole edes haluttu taata 100% turvallisuutta, vaan ehkä samat tekijät ovat tehneet toisen, erinimisen SSL -ratkaisun, jota myydään ihan rahalla, ja joka on turvallinen, mutta ilmaisversio OpenSSL ihan tarkoituksella ei ole.

Itse ainakin kyseenalaistaisin koko OpenSSL:n turvallisuuden, koska toistuvat haavoittuvuudet osoittavat, ettei kehitykseen ole panostettu riittävästi ja/tai onpanostettu väärällä tavalla.

Mikä sitten olisi paras tapa arvoida jonkun salausohjelmiston tai salauskirjaston (joka siis on tarkoitettu toimimaan jonkin toisen ohjelmiston osana) turvallisuutta ?

Miten löytää KAIKKI mahdolliser heikkoudet, tai saada varma tieto siitä, ettei heikkouksia ole ?

Kannattaa muuten miettiä, mikä jenkkien NSA:n mielestä olisi paras mahdollinen salausjärjestelmä.

Käsittääkseni paras salaus olisi NSA:n mielestä sellainen, joka:

* aukeaa salauksenomistajan salausavaimella (tarkemmin ns. avausavaimella, jos kyse on ns. julkisen avaimen salauksesta).

* aukeaa NSA:n oman "takaoven" avulla helposti, nopeasti ja varmasti

* EI AUKEA lainkaan millään muulla kuin kahdella ylläolevalla tavalla.

* ns. Brute force -hyökkäyksella salaus joko ei aukea, tai ainakin avaaminen vaatisi yli miljardi vuotta sekä kaiken maailmankaikkeuden energian.

Haluaisitko sinä tällaisen salauksen käyttöösi, jonka voi avata:

1) sinä itse

2) se/ne henkilöt, joille olet antanut avausavaimen

3) jenkkien NSA

mutta kukaan muu ei voi avata salaustasi mitenkään eikä koskaan.

NSA:n mukaan tuollainen salaus olisi täydellinen, koska sivulliset eivät sitä voi avata lainkaan, mutta jos esim. terroristit salaavat suunnitelma-asiakirjojaan tuollaisella, niin NSA itse kykenee helposti ja nopeasti avaamaan salauksen, ja näin pääsemään perille terroristien suunnitelmista jo ennen suunnitelmien toteuttamista.

Haluatko sinä luottaa 100% siihen, että NSA ei missään olosuhteissa käytä takaoveaan mihinkään muuhun tarkoitukseen, kuin terrorismin ehkäisemiseen ?

Tiesitkö muuten, että rikkaiden jenkkien (jotka omistavat merkittäviä määriä hallitsevien suuryritysten osakkeita) mielestä esim. musiikin tai elokuvien piraattikopiointi ja -jakelu on täysin rinnastettavissa terrorismiin.

ko. toimet ovat toki lainvastaisia ja niistä voidaan tuomita rangaistukseen, mutta onko siltikään oikein pitää musiiki- ja elokuvapiratismia terrorismina ?

1

115

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Jklrk3yu

      Katsoin miten Debianissa oli asiaa hoidettu. SLOTH ja DROWN jutut oli eliminoitu EXPORT ja LOW salaukset oli poistamalla. Ilmeisesti ne ovat olleet taaksepäin yhteensopivuuden takia siellä.

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Suureksi onneksesi on myönnettävä

      Että olen nyt sitten mennyt rakastumaan sinuun. Ei tässä mitään, olen kärsivällinen ❤️
      Ikävä
      92
      2007
    2. Perusmuotoiset TV-lähetykset loppu

      Nyt sanoo useiden HD-muotoistenkin kanavien kohdalla äly-TV, ettei kanava ole käytössä, haluatko poistaa sen? Kanavia
      Apua aloittelijalle
      167
      1480
    3. YLE Äänekosken kaupunginjohtaja saa ankaraa arvostelua

      Kaupungin johtaja saa ankaraa kritiikkiä äkkiväärästä henkilöstöjohtamisestaan. Uusin häirintäilmoitus päivätty 15 kesä
      Äänekoski
      74
      1269
    4. No ei sun asunto eikä mikään

      muukaan sussa ole erikoista. 🤣 köyhä 🤣
      Ikävä
      71
      1107
    5. Euroopan lämpöennätys, 48,8, astetta, on mitattu Italian Sisiliassa

      Joko hitaampikin ymmärtää. Se on aivan liikaa. Ilmastonmuutos on totta Euroopassakin.
      Maailman menoa
      225
      1082
    6. Hyvin. Ikävää nainen,

      Että vainoat ja stalkkaat miestäni.onko tarkoituksesi ehkä saada meidät eroamaan?no,siinä et tule onnistumaan
      Ikävä
      87
      1044
    7. Martina lähdössä Ibizalle

      Eikä Eskokaan tiennyt matkasta. Nyt ollaan jännän äärellä.
      Kotimaiset julkkisjuorut
      145
      974
    8. Asiakas iski kaupassa varastelua tehneen kanveesiin.

      https://www.iltalehti.fi/kotimaa/a/33a85463-e4d5-45ed-8014-db51fe8079ec Oikein. Näin sitä pitää. Kyllä kaupoissa valtava
      Maailman menoa
      237
      928
    9. Katsoin mies itseäni rehellisesti peiliin

      Ja pakko on myöntää, että rupsahtanut olen 😆. Niin se ikä saavuttaa meidät kaikki.
      Ikävä
      51
      906
    10. Uskomaton tekninen vaaliliitto poimii rusinoita pullasta

      Korni näytösesitelmä menossa kaupunginvaltuustossa. Juhlia ei ole kokouksista tiedossa muilla, kuin monipuolue paikalli
      Pyhäjärvi
      88
      881
    Aihe