Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve

[es] :: Advocacy :: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve

Strane: < .. 1 2 3 4

[ Pregleda: 21012 | Odgovora: 70 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Srđan Pavlović
Specijalna Edukacija i Rehabilitacija MNRO
Vojvodina, Bačka Palanka

Član broj: 139340
Poruke: 5571
79.101.199.*

Sajt: www.oligofrenolog.com


+382 Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve17.05.2008. u 15:35 - pre 193 meseci
Znaci, mene, kao Desktop korisnika Debiana (i forkova) ova stvar ne afektira, ako ne koristim SSH i ako mi je SSH stalno closed?
 
Odgovor na temu

Marko_R
Marko Ranđelović
Programer
Niš

Član broj: 3737
Poruke: 575



+4 Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve17.05.2008. u 16:45 - pre 193 meseci
Koliko ja vidim ovde je bilo četiri propusta:

1. Debian developer koji je čačkao po kodu koji ne razume
2. OpenSSL tim koji je svoju mailing listu pomerio na tajnu lokaciju
3. OpenSSL tim koji nije komentarisao kod
4. Debian QA koji nije proverio ovakve esencijalne stvari

Mislim da bi FLOSS zajednica morala da izvuče vrlo veliku pouku iz svega ovoga i da nadalje mnogo odgovornije postupa i bolje sarađuju ljudi vezani za isti projekat.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
..adsl-static.isp.belgacom.be.



+7169 Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve17.05.2008. u 18:07 - pre 193 meseci
Tesko... mislim da nece doci do toga.

Najbolje sto se moze ocekivati je da Debian ekipa nauci nesto iz ovoga, i ne "popravlja" stvari koje ne razume, a OpenSSL ekipa mozda krene da bolje komentarise kod...

"FLOSS Zajednica" tesko da moze nesto da nauci iz ovoga, jer ona nije neka firma, pa da ima corporate coding standarde, vec je to gomila nepovezanih individualnih developera i timova developera... Ocekivati da ce svi oni koji ne komentarisu svoj kod i koji pokusavaju da isprave tudje greske bez feedbacka autora naprasno promeniti svoje (lose) navike je ipak previse optimisticno..

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Marko_R
Marko Ranđelović
Programer
Niš

Član broj: 3737
Poruke: 575



+4 Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve18.05.2008. u 12:47 - pre 193 meseci
Evo šta je pisao tip koji je napravio pogubni "fix" u diskusiji o bagu koji je imao severity "wishlist". Dakle, taj Valgrind je izbacivao neka upozorenja i onda im je bilo nečitljivo, pa je neko predložio da se to nekako sredi, ali Kurt je rekao da to nije dobro rešenje i predložio "bolje":

Citat:
From: Kurt Roeckx <[email protected]>
To: Richard Kettlewell <[email protected]>, [email protected]
Subject: Re: [Pkg-openssl-devel] Bug#363516: valgrind-clean the RNG
Date: Wed, 19 Apr 2006 18:56:03 +0200

On Wed, Apr 19, 2006 at 04:01:22PM +0100, Richard Kettlewell wrote:
> Package: openssl
> Version: 0.9.7e
> Severity: wishlist
>
> Suppressions don't seem to be good enough to eliminate this
> unfortunately - the uninitializedness taints all the users of the
> openssl random number generator, producing valgrind hits throughout
> your program, making it unnecessarily difficult to see the wood for
> the trees.

This is not the proper way to fix it. You can still find other
cases where you'll get the same results.

The problems are the following 2 pieces of code in
crypto/rand/md_rand.c:

247:
MD_Update(&m,buf,j);

467:
#ifndef PURIFY
MD_Update(&m,buf,j); /* purify complains */
#endif

What it's doing is adding uninitialised numbers to the pool to
create random numbers.

I've been thinking about commenting those out.

I've been told that using VALGRIND_MAKE_READABLE can be used to
suppress those errors. So I've been pondering about building the
library with that. I haven't tried that this works yet though.


Martin, what do you think about this?


Kurt


Samo mi nije jasno jedno: on kaže: "What it's doing is adding uninitialised numbers to the pool to create random numbers." Dakle, on je imao u vidu da ove dve linije imaju bitnu ulogu u kreiranju slučajnih brojeva. A onda kaže: "I've been thinking about commenting those out.". Pa ovo je kao ona fora "boli te glava, iseci je"!?!?!? Meni ovo nikako ne ide u glavu.

EDIT: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516
 
Odgovor na temu

vopiman
YUnet International
Belgrade

Član broj: 54789
Poruke: 24
*.igord.net.

ICQ: 264805869
Sajt: www.igord.net


Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve18.05.2008. u 14:23 - pre 193 meseci
~# apt-get update
~# apt-get install openssl
~# apt-get install openssh-server

Nakon ovoga, Debian package će reći:

The following NEW packages will be installed:
openssh-blacklist
The following packages will be upgraded:
libssl0.9.8 openssh-client openssh-server

Dalje, ponudiće vam prozor sa pitanjima gde želite da se koristi novi open-ssl, ako je u pitanju samo ssh server ukucajte ssh.
Posle toga, sledi generisanje novih ključeva:

Setting up openssh-server (4.3p2-9etch2) …
Creating SSH2 RSA key; this may take some time …
Creating SSH2 DSA key; this may take some time …
Restarting OpenBSD Secure Shell server: sshd.

Sa ovim smo uradili upgrade package-a openssl, generisali nove ključeve koji bi trebali biti bezbedni.

Proveru da li je to ipak tako možemo uraditi uz pomoć komande:

~$ ssh-keyscan -t rsa ime-hosta | ssh-vulnkey -

gde ovo ime-hosta zamenjujemo imenom servera.

Npr nakon što sam uradio sve ovo na jednom serveru, rezultat je:

~$ ssh-keyscan -t rsa localhost | ssh-vulnkey -
# localhost SSH-2.0-OpenSSH_4.3p2 Debian-9etch2
Not blacklisted: 2048 ***************************************** -

Dok na drugom serveru za koji još nisam uradio daje:

~$ ssh-keyscan -t rsa IME-SERVERA-NA-KOM-NISAM-URADIO-UPGRADE | ssh-vulnkey -
# IME-SERVERA-NA-KOM-NISAM-URADIO-UPGRADE SSH-2.0-OpenSSH_4.3p2 Debian-9
COMPROMISED: *****************************************-


Sto znaci da je ipak ovaj na kom nije uradjen upgrade nasao da je compromised...


(ključ sam zamenio zvezdicama)

[Ovu poruku je menjao vopiman dana 19.05.2008. u 11:27 GMT+1]

[Ovu poruku je menjao vopiman dana 19.05.2008. u 14:03 GMT+1]
 
Odgovor na temu

Srđan Pavlović
Specijalna Edukacija i Rehabilitacija MNRO
Vojvodina, Bačka Palanka

Član broj: 139340
Poruke: 5571
79.101.199.*

Sajt: www.oligofrenolog.com


+382 Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve18.05.2008. u 14:32 - pre 193 meseci
Citat:
I've been told that using VALGRIND_MAKE_READABLE can be used to
suppress those errors. So I've been pondering about building the
library with that. I haven't tried that this works yet though.


- Works like a charm :)))
 
Odgovor na temu

Zoran Milovanovic

Član broj: 45186
Poruke: 1206
*.exe-net.net.



+159 Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve21.05.2008. u 13:47 - pre 193 meseci
Ja samo da pitam koje stete su nanesene u proteklij 1.5 god? Ima li negde nesto veliko? Ako ima, molim putanju, bas bi da citam o tome.
 
Odgovor na temu

pri3rak
Beograd

Član broj: 43563
Poruke: 701
*.cpe.vektor.net.

Jabber: pri3rak@elitesecurity.org


+300 Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve03.01.2009. u 00:40 - pre 185 meseci
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8632
195.222.97.*



+2789 Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve09.03.2009. u 19:26 - pre 183 meseci
Samo je ovo slučajno

http://qrbg.irb.hr/

a ostalo je pseudoslučajno.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

Goran Rakić
Beograd

Član broj: 999
Poruke: 3766

Sajt: blog.goranrakic.com


+125 Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve09.03.2009. u 20:03 - pre 183 meseci

http://sr.libreoffice.org — slobodan kancelarijski paket, obrada teksta, tablice,
prezentacije, legalno bez troškova licenciranja
 
Odgovor na temu

Srđan Pavlović
Specijalna Edukacija i Rehabilitacija MNRO
Vojvodina, Bačka Palanka

Član broj: 139340
Poruke: 5571
212.200.30.*

Sajt: www.oligofrenolog.com


+382 Profil

icon Re: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve11.03.2009. u 19:47 - pre 183 meseci


Citat:
QRBG121 is a fast non-deterministic random bit (number) generator whose randomness relies on intrinsic randomness of the quantum physical process of photonic emission in semiconductors and subsequent detection by photoelectric effect


e, ovo je keva, i jos se kaci na USB! :)
 
Odgovor na temu

[es] :: Advocacy :: Sigurni (Debian & Co) Linux - Ovog puta generise predvidljive "random" kljuceve

Strane: < .. 1 2 3 4

[ Pregleda: 21012 | Odgovora: 70 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.