February 2026

S M T W T F S
1234567
891011121314
15161718192021
22232425262728

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

state of the art

stas: (Default)
[personal profile] stas
Friday, September 20th, 2013 02:13 pm
In today's news of the weird, RSA (a division of EMC) has recommended that developers desist from using the (allegedly) 'backdoored' Dual_EC_DRBG random number generator -- which happens to be the default in RSA's BSafe cryptographic toolkit.

Даже не знаю, уместно тут смеяться или плакать. 
Tags:
Flat | Top-Level Comments Only

[identity profile] 1master.livejournal.com
Friday, September 20th, 2013 09:37 pm (UTC)
Человек, который пытался пользоваться RSAшным софтом - не будет этого делать, даже если ему будут приплачивать.

[identity profile] karpion.livejournal.com
Saturday, September 21st, 2013 03:43 pm (UTC)
А как можно пользоваться, не попытавшись?

[identity profile] jsn.livejournal.com
Friday, September 20th, 2013 09:53 pm (UTC)
Вишенка на этом торте-то вот (http://lists.randombit.net/pipermail/cryptography/2013-September/005341.html):

According to published reports that I saw, NSA/DoD pays $250M (per year?) to backdoor cryptographic implementations. I have knowledge of only one such effort. That effort involved DoD/NSA paying $10M to a leading cryptographic library provider to both implement and set asthe default the obviously backdoored Dual_EC_DRBG as the default RNG.

stas: (Default)
[personal profile] stas
Friday, September 20th, 2013 10:11 pm (UTC)
10M это ж копейки, как я понимаю. Особенно учитывая репутационный ущерб.

[identity profile] 1master.livejournal.com
Friday, September 20th, 2013 10:15 pm (UTC)
Так они же не за деньги это делают, а потому, что отказаться не могут. А деньги - это компенсация.
Вот если теперь производители с NSA стрясут все бизнес-потери, которых я думаю на много-много миллиардов наберется, то вот это будет интереснейшим мероприятием.

stas: (Default)
[personal profile] stas
Friday, September 20th, 2013 10:17 pm (UTC)
Не стрясут. Я не думаю, что им угрожали тюрьмой или чем-то таким - скорее всего, попросили небесплатно помочь национальной безопасности в обмен на доступ к сочным госконтрактам. И, сдаётся мне, единственные записи, которые об этом есть, хранятся угадайте где? И недоступны для FOIA по причинам национальной безопасности.

[identity profile] 1master.livejournal.com
Saturday, September 21st, 2013 04:21 am (UTC)
Судя по выплывающему - просят не в обмен на госконтракты, а потому, что иначе [длинный список кар]. Но могут компенсировать затраты.

stas: (Default)
[personal profile] stas
Saturday, September 21st, 2013 11:15 pm (UTC)
Да ну - чем именно NSA может покарать RSA за отказ встроит дырку в их алгоритм?

[identity profile] 1master.livejournal.com
Saturday, September 21st, 2013 11:38 pm (UTC)
А чем они могли покарать всяких провайдеров почтовых?

stas: (Default)
[personal profile] stas
Sunday, September 22nd, 2013 02:49 am (UTC)
Там другая тема - по закону, почтовые провайдеры обязаны удовлетворять законные требования о доступе. А про дырки в алгоритмах закона нет.

[identity profile] selfmade.livejournal.com
Tuesday, September 24th, 2013 07:23 am (UTC)
Я не понял, алгоритм закрытый или открытый? Если закрытый, то нафига им пользоваться, а если открытый, то почему дырка сама собой не обнаружилась?

stas: (Default)
[personal profile] stas
Tuesday, September 24th, 2013 07:32 am (UTC)
Открытый и даже стандартизированый NIST. Подозрения, что там может быть дырка, были, но о факте, что дырка вставлена специально NSA, узнали только недавно. Сам факт наличия дырки в алгоритме - ничего особенного, криптография - дело сложное. А вот специальная организация дырки в алгоритме, да ещё попавшем в стандарт - это нечто новенькое.
Flat | Top-Level Comments Only