Re: Что ждать от решения о включении бин арных прошивок в состав дебиана

2009-01-27 Пенетрантность Artem Chuprina
Mikhail Gusarov -> debian-russian@lists.debian.org  @ Tue, 27 Jan 2009 15:22:01 
+0600:

 AC>> А если в самих ключах удастся найти закономерность за разумное
 AC>> время - это значит, что используемые криптоалгоритмы (хэширования,
 AC>> преимущественно) не обладают свойством уравномеривания входа.  Но
 AC>> они им обладают...

 MG> Алгоритмы-то обладают, а как насчёт реализаций?

А вот тесты на то, что реализация реализует именно эти алгоритмы, там
есть.  Алгоритм хэширования - он, видишь ли, детерминирован...  И,
натурально, придуман так, чтобы по его выходу нельзя было определить,
насколько качественная энтропия подавалась на вход...  А поскольку баг
был именно типа "некачественная энтропия"...

Нет, в теории можно генерировать N ключей и смотреть статистику
совпадений.  Но поскольку даже в случае этого бага, где энтропия была
ОЧЕНЬ некачественной, N должно быть порядка нескольких миллиардов...

Тут проблема в том, что у атакующего на порядок больше времени, чем у
тестирующего, а для статистических тестов соотношение должно быть
обратным.  Т.е. разница уже в два порядка.  ("Порядок" тут понимается не
как степень двойки, а как степень чего-то изрядно большого, типа
"несколько недель" vs. "несколько минут".)

-- 
Artem Chuprina
RFC2822:  Jabber: r...@jabber.ran.pp.ru

Нажатие на кнопку "Запомнить пароль" не поможет ВАМ запомнить пароль.
 -- http://bash.org.ru/quote.php?num=101483


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org



Re: Что ждать от решения о включении бин арных прошивок в состав дебиана

2009-01-27 Пенетрантность Artem Chuprina
Alexey Pechnikov -> debian-russian@lists.debian.org  @ Tue, 27 Jan 2009 
08:43:38 +0300:

 >> > Удивляет как раз то, что мантейнер упорно и наперекор апстриму какие-то
 >> > патчи втискивает.
 >>
 >> По документации, если пакет изначально не в deb делается, то в deb-src
 >> все deb-патчи лежат отдельно - можете их использовать или нет по своему
 >> умотрению. Разве в реальносит не так ?

 AP> Бинарный пакет эти патчи содержит. Или вы дебиан сами из сырцов
 AP> собираете, правя попутно весь софт?

Во-первых, один-два пакета можно и самому собирать.  Мы с Витусом в свое
время так vim собирали.  Потому что сборка от мейнтейнера не могла
устроить нас обоих одновременно.  Теперь я пользуюсь емаксом, а Витус
поддерживает пакет vim в одно жало.  Если появится человек, который на
той же машине хочет emacs22-gtk, я сделаю то же самое с емаксом.

Во-вторых, можно добиваться замены мейнтенера, если он невменяем.
Заменять, правда, при этом прилично только на себя.

 AP> P.S. Кто может сказать, добавили ли в openssl после известного
 AP> происшествия набор тестов, которые создают и проверяют набор ключей
 AP> и могут обнаружить их "слабость"?

AFAIK нет.  Более того, насколько я себе представляю ситуацию, это в
общем случае невозможно.  Возможно сделать проверку на данный конкретный
баг, и то она будет довольно дорогой - по сути, перебор всех или наиболе
вероятных возможных исходных значений ключей.

А если в самих ключах удастся найти закономерность за разумное время -
это значит, что используемые криптоалгоритмы (хэширования,
преимущественно) не обладают свойством уравномеривания входа.  Но они им
обладают...

-- 
Artem Chuprina
RFC2822:  Jabber: r...@jabber.ran.pp.ru

Секретный ключ, известный более чем одной персоне, называется публичным.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org



Re: Что ждать от решения о включении бин арных прошивок в состав дебиана

2009-01-26 Пенетрантность Artem Chuprina
Mikhail Gusarov -> debian-russian@lists.debian.org  @ Mon, 26 Jan 2009 03:33:30 
+0600:

 EMZ>> Неквалифицированный не в программировании, а в предметной
 EMZ>> области. Вот ему почудилось что-то, что в этом месте не работает,
 EMZ>> и исправилб а исправил неверно. Вот так потом и имеем несколько
 EMZ>> закомментированных строчек и слабые ключи. :)

 MG> Насколько нужно быть тупым, чтобы лезть в драйвер непонятно чего?

Ну, приведенный в пример товарищ - дебиановский мейнтейнер...
Мейнтейнит _криптографический_ пакет.  Обеспечивающий криптографией
больше чем пол-системы.

 EMZ>> Ну и, понятное дело, боязнь увода своих наработок. Например, тот
 EMZ>> же ADSL-роутер фирмы D-Link, который на Linux. Тулчейн есть,
 EMZ>> неофициальные прошивки даже были поддержаны местным
 EMZ>> представительством. но китайцы всячески отказались открывать
 EMZ>> прошивку, которая собственно на физическом уровне работает.

 MG> FSF Europe на них нет.

Алекс Куклин докопался на ту же тему до асуса, с EEEPC.  Вежливо изложил
им, что они нарушают лицензию.  Выложили.

-- 
Artem Chuprina
RFC2822:  Jabber: r...@jabber.ran.pp.ru

женщина, всерьёз алчущая завтрака, способна вполне прилично наточить мясорубку.
(с) Руна


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org



Re: Что ждать от решения о включении бин арных прошивок в состав дебиана

2009-01-25 Пенетрантность Aleksey Korotkov
On Sat, 24 Jan 2009 23:59:48 +0300
Alexey Pechnikov wrote:

AP> Я как-то к деллам отношусь не очень - не видел ни одного
AP> нормального ноута от этой фирмы.

Приезжайте, покажу. Причём ноутбук бюджетный (~$500).

-- 
С уважением,
А.В.Коротков,

mailto:z...@uni.udm.ru


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org