LINUX.ORG.RU
ФорумTalks

RSA Security получила $10 млн. за использование заведомо дырявого ГПСЧ

 , , ,


0

2

Копипаста с хабры:

На Хабре уже писали как RSA Security заявила о наличии бэкдора в своих продуктах, теперь же, появилась информация, что на использование в качестве генератора псевдослучайных чисел именно Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generation) их сподвигло не что иное, как взятка со стороны одного небезызвестного агентства .

Согласно источникам Reuters, агентство выплатило компании RSA Security $10 млн. в обмен на гарантии использования по умолчанию в своих криптографических продуктах заведомо ненадежного алгоритма генерации псевдослучайных чисел. Такая сумма может показаться ничтожной, но на самом деле, она составляла более трети доходов соответствующего подразделения компании на тот момент. В 2005 году продажи библиотек BSAFE принесли компании всего $27,5 млн. из $310 млн. дохода всей RSA Security. А в 2006 году компания была приобретена технологическим гигантом EMC за $2,1 млрд.

Уже 2007 году исследователи из Microsoft (Dan Shumow и Niels Ferguson) заметили, что генератор содержит в себе недостатки, которые могут быть применены как «идеальный черный ход » в любом алгоритме шифрования, использующем Dual_EC_DRBG.

Все подозрения оставались уделом узкого круга экспертов по криптографии, пока в сентябре 2013 года в прессу не просочились секретные документы от довольно известного лица и сам производитель рекомендовал прекратить использование продуктов, имеющих в своем составе генератор Dual_EC_DRBG.

Со своей стороны, RSA утверждает, что они никогда не вступали в сговор с каким-либо агентством чтобы поставить под угрозу безопасность своей продукции и если кто-либо знает, как сломать их шифрование, то они тут совершенно не при чем. «RSA всегда действует в интересах своих клиентов и ни при каких обстоятельствах не разрабатывает и не внедряет бэкдоры в свои продукты», заявила компания.

★★★★★

Последнее исправление: IPR (всего исправлений: 5)

Сейчас в тему набегут защитники тотальной прослушки и большого брата и обвинят всех в терроризме :}

Deleted
()
Ответ на: комментарий от Falcon-peregrinus

Так, стоп. Тег " consipracy". Лол, ЛОРодвижок не замечает пробелы перед названием? Исправляй скорее, а то нагрянет ужик через месяц, и будет некротред.

Falcon-peregrinus ★★★★★
()
Ответ на: комментарий от Falcon-peregrinus

Для такой темы всплыть через месяц нормально. Почаще нужны напоминания людям.

Deleted
()
Ответ на: комментарий от Falcon-peregrinus

Первое исправление было по этому же поводу, кстати. И я писал без пробела.

IPR ★★★★★
() автор топика

RSA всегда действует в интересах своих клиентов и ни при каких обстоятельствах не разрабатывает и не внедряет бэкдоры в свои продукты

Люблю парадоксы.

lodin ★★★★
()
Ответ на: комментарий от Deleted

Б-же как страшно жить! АНБ вас всех найдет и покарает карой страшною! Дай Б-г этим ребятам здоровья и еще 10 мегабаксов денег.

der_looser ★★
()
Ответ на: комментарий от der_looser

Я — пророк Дебиана, очевидно же.

Also, что-то вас много развелось, считающих меня. Нет ли в этом какого-нибудь экстремизма?

Deleted
()
Последнее исправление: Mystra_x64 (всего исправлений: 1)

Плох тот капиталист, что не готов продать веревку, на которой его же и повесят.

DNA_Seq ★★☆☆☆
()

*пожимает плечами*

Проприетарщина.

reserved
()

Все подозрения оставались уделом узкого круга экспертов по криптографии, пока в сентябре 2013 года в прессу не просочились секретные документы от довольно известного лица и сам производитель рекомендовал прекратить использование продуктов, имеющих в своем составе генератор Dual_EC_DRBG.

хабра как она есть

emulek
()
Ответ на: комментарий от der_looser

честным гражданам нечего скрывать и прятать. шифровка - удел педофилов и террористов.

ты точно в этом уверен? Задумайся, КОМУ выгодна такая позиция?

emulek
()
Ответ на: tl;dr от newpunkies

Что все это значит для меня, как домашнего пользователя интернета?

злые хакеры могут увести пароль от фконтактика, даже если у тебя он типа azUgo40W

Ну если ты будешь юзать закрытое ПО. Потому-что в открытом ПО наличие Dual_EC_DRBG определяется простым grep'ом исходника.

emulek
()
Ответ на: комментарий от der_looser

Таки Вы террорист-антисемит-маньяк-педофил-гомосексуалист?

ПВОВО?

Давай, выкладывай. Ты же не педофил, да? Скрывать тебе нечего. Вот и докажи этот факт. Иначе, по твоей логике, ты — террорист-антисемит-маньяк-педофил-гомосексуалист.

emulek
()
Ответ на: комментарий от der_looser

Смею напомнить, что Вы так и не ответили на мой вопрос.

дык и ты так и не ответил. Твой оппонент из себя ангела не строил, которому скрывать нечего. Это ты у нас — ангел во плоти. Вот и выкладывай.

emulek
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.