Обнаружена уязвимость в OpenSSH

> с вероятностью 2^{-18} (один случай из 262,144) расшифровать кусок передаваемых данных длиной в 32 бита

Муахахах. Вот уж где действительно паранойа.

> он может определить содержимое первых четырех байт незашифрованного блока

> первых четырех байт незашифрованного блока

> незашифрованного

По ходу, они даже не определились: зашифорваны атакуемые 4 байта, или нет :D

PS по ссылке не ходил

> Проверено: hibou

Если не секрет, зачем было эту ахинею аппрувить?

Гм... а угадать 32 бита можно с вероятностью 2^(-32), если я не позабыл все на свете...

Еще, на сколько я помню, вероятность взлома равную вероятности угадывания дает ключ равный по длине сообщению, с оным сообщениям поксоренный. Все конструкции с более короткими ключами вроде как должны иметь вероятность взлома больше чем вероятность угадывания. И это вполне логично... Так что на мой совершенно не профессиональный взгляд тут нет ничего удивительного что такой эффект продемонстрировали.

как толсто! ай-ай-ай!

пересылаются зашифрованные данные, злоумышленник может "расшифровать" (не с помощью алгоритма расшифрования, а за счет уязвимости в протоколе) первые 4 байта.

Что теперь делать?

Браво!

Кастую в тред svu, он давно мечтал увидеть новость об уязвимости на главной.

И в чём проблема? Изменить код что бы вначале передавалось 4 байта из /dev/random и всего делов то.

>И в чём проблема? Изменить код что бы вначале передавалось 4 байта из /dev/random и всего делов то.

Гениальный ход. А лучше вообще полезных данных не передавать - пошуметь из рандома и оборвать сессию. Самоен главное - полезно.

> И в чём проблема? Изменить код что бы вначале передавалось 4 байта из /dev/random и всего делов то.

Хочется процитировать известное произведение:

> и вы в присутствии двух людей с университетским образованием позволяете себе с развязностью совершенно невыносимой подавать какие-то советы космического масштаба и космической же глупости о том, как всё поделить…

Если сходить по ссылке, то можно узнать, что уязвимость уже пофикшена.

По ссылке сказано, что в 5.2 проблема исправлена. У меня 5.2 давно используется.

решето

> > И в чём проблема? Изменить код что бы вначале передавалось 4 байта из /dev/random и всего делов то.

> Хочется процитировать известное произведение:

> > и вы ... позволяете себе ... подавать какие-то советы космического масштаба и космической же глупости

Что бы не казалось господам с высшим образованием, но подобные методы используются.

Всё-таки по-русски будет 1 из 262.144=262144 случаев, а не 262,144 ~= 262. А то сначала испугался, с каких это пор 2^18 = 262.

Проблема была найдена в версии 4.7 из Debian в ноябре прошлого года. Сейчас в Lenny 5.1, не знаю, исправили там или нет. Да, новость немного запоздала :)

> Проблема была найдена в версии 4.7 из Debian

Што, опять проблема в этом дырявом Дебиане? o_O

>Что бы не казалось господам с высшим образованием, но подобные методы используются.

Конечно, используются. А потом в ленте новостей идут заголовки типа, "защита XXX была сломана YYY за n секунд" или "программа Z была взломана еще до выхода на рынок".

В английском не силён, но это может быть использовано в том случае, если угадавший будет уверен в том, что он именно угадал. А иначе смысл этих 4 байт, угаданные они или не угаданные.

CloseSSH

Перепили все? Уязвимость полугодовой давности

http://www.securitylab.ru/vulnerability/363209.php

>> он может определить содержимое первых четырех байт незашифрованного блока

>> первых четырех байт незашифрованного блока

>> незашифрованного

>По ходу, они даже не определились: зашифорваны атакуемые 4 байта, или нет :D

Это так перевели, что an attacker can work out the first four bytes of corresponding plaintext.

Исходная статья здесь:

http://www.isg.rhul.ac.uk/~kp/SandPfinal.pdf

ну а где ты возмешь так много качественных людей для сборки пакетов?

Ой боюсь-боюсь!

эта новость месяц назад была на опеннете, и там сказали, что новости без малого уже год.

>Всё-таки по-русски будет 1 из 262.144=262144 случаев, а не 262,144 ~= 262. А то сначала испугался, с каких это пор 2^18 = 262.

Вот кстате дайте ка мне того мудака, что постановил, что в русском языке дробная часть отделяется запятой, а не точкой. Уж я бы его поотделял.

>Что бы не казалось господам с высшим образованием, но подобные методы используются.

Криптографическая стойкость алгоритма расчитывается из расчета того, что злоумышленник знает сам алгоритм. Именно поэтому "господа с высшим образованием" полагают подмешивание первых 4-х, 100, 150 ... случайных байт полной нелепицей, поскольку на оценке стойкости такая операция никак не скажется.

неделя паранойа??

:)

Кстати, британские учёные:

> Исследователи из Royal Holloway, University of London

> Криптографическая стойкость алгоритма расчитывается из расчета того, что злоумышленник знает сам алгоритм. Именно поэтому "господа с высшим образованием" полагают подмешивание первых 4-х, 100, 150 ... случайных байт полной нелепицей, поскольку на оценке стойкости такая операция никак не скажется.

Да, конечно, мы все знаем, как надежен и невзламываем AES. Рекомендую почитать хотя бы википедию, http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation

Хотя бы первые три параграфа.

> Криптографическая стойкость алгоритма расчитывается из расчета того, что злоумышленник знает сам алгоритм. Именно поэтому "господа с высшим образованием" полагают подмешивание первых 4-х, 100, 150 ... случайных байт полной нелепицей, поскольку на оценке стойкости такая операция никак не скажется.

Ваша первая фраза не обосновывает вторую. Таким образом, вы высрали на просторы ЛОР-а классический сэмпл бессвязного бреда.

Теперь то же самое в варианте для тупорылых, медленно и по слогам: из открытости алгоритма никак не следует, что подмешивание первых четырех случайных байт не может сказаться на его стойкости.

>Именно поэтому "господа с высшим образованием" полагают подмешивание первых 4-х, 100, 150 ... случайных байт полной нелепицей, поскольку на оценке стойкости такая операция никак не скажется.

Это не есть правда. Просто криптостойкость определяется совсем не мутностью преобразований. А в данном случае подмешивание рандома вообще ничего не даст кроме похеренной информации.

5.2

Пофик

> А в данном случае подмешивание рандома вообще ничего не даст кроме похеренной информации.

В данном случае, если верить тексту новости, всё, что удается хоть как-то скомпроментировать - это первые четыре байта. И если не класть в первые четыре байта ничего интерсного, то этой уязимости попросту нет.

>Теперь то же самое в варианте для тупорылых, медленно и по слогам: из открытости алгоритма никак не следует, что подмешивание первых четырех случайных байт не может сказаться на его стойкости.

Уточнение - из этого не поистекает, что стойкость повысится. На простом примере если банальный ксор с числом "замутить" "умножением на 36 делением на 62 и прибавлением 5" - на криптостойкость это не повлияет.

> В данном случае, если верить тексту новости, всё, что удается хоть как-то скомпроментировать - это первые четыре байта. И если не класть в первые четыре байта ничего интерсного, то этой уязимости попросту нет.

Это с точки зрения пользователя - возможно и "нет уязвимости". Но факт останется фактом: четыре расшифровываются (и не важно что там, случайные какие-то числа или что-то еще).

> Уточнение - из этого не поистекает, что стойкость повысится.

Разумеется. Чтобы говорить об изменении стойкости, нужно взять конкретный алгоритм (и математическое обоснование его стойкости). В данном случае, я так понимаю, с математикой все в порядке. Но в конкретной имплементации обнаружены краевые эффекты. Легко подавляемые. И, кмк, совершенно несущественные.

> Но факт останется фактом: четыре расшифровываются (и не важно что там, случайные какие-то числа или что-то еще).

Если там случайные данные, то собственно информации не расшифровывается нисколько. Hint: рассматривайте свойства результирующего алгоритма, а не отдельных его частей.

как в анекдоте - 4 млрд китайцев попытались взломать сервер пентагона. Каждый китаец ввел рандомный пароль 1 раз.... А ваще значит можно так ломать OpenSSH при помощи пары сотен тысяч быделов, тупо все перебирающих... А взять их можно скажем на одноклассниках или еще лучше на вконтакте.

>как в анекдоте - 4 млрд китайцев попытались взломать сервер пентагона. Каждый китаец ввел рандомный пароль 1 раз.... А ваще значит можно так ломать OpenSSH при помощи пары сотен тысяч быделов, тупо все перебирающих... А взять их можно скажем на одноклассниках или еще лучше на вконтакте.

SSHGuard, Fail2Ban. не пробовали?

Увы, я с ним не знаком... А вообще вы у европейцев спросите, может они подскажут ;)

решето!

> расшифровать кусок передаваемых данных длиной в 32 бита.

решеYIFe89fRf28L8uvyFa1MIS3DXW4kwZkCxAeFNcK3bZpjS

> Вот кстате дайте ка мне того мудака, что постановил, что в русском языке дробная часть отделяется запятой, а не точкой. Уж я бы его поотделял.

Я не знаю, как сейчас в России, но в б/СССР всегда дробная часть отделясь запятой. А точка появилась только с появлением M$. Также как и точка с Shift-7 переместилась вниз клавиатуры (захватив с собою запятую).

ггггы

s/с вероятностью 2^{-18} (один случай из 262,144)/с отличной от нуля вероятностью/

fixed

> Если там случайные данные, то собственно информации не расшифровывается нисколько. Hint: рассматривайте свойства результирующего алгоритма, а не отдельных его частей.

Да все понятно. Мы не говорим о "собственно информации". Речь идет вообще о том, что расшифровываются данные, которые зашифровал пользователь (и неважно, какие они - случайные или нет). А это уязвимость.