OpenSSL (до 0.9.7j и 0.9.8b) допускает подделку подписей
Широкоиспользуемая технология защиты может некорректно проверять некоторые фальшивые подписи.
Эксперты по безопасности продемонстрировали способ обойти ограничения защиты OpenSSL, подделывая некоторые цифровые подписи. OpenSSL применяется во многих средствах защиты, безопасных веб-серверах и виртуальных частных сетях (VPN).
Баг влияет только на подписи определенного типа — PKCS #1 v1.5, но они применяются некоторыми центрами сертификации. «Если используется ключ RSA с показателем степени 3, подпись PKCS #1 v1.5, заверенную этим ключом, можно подделать, — говорится в рекомендации OpenSSL. — Так как показатель степени 3 широко используется (центрами сертификации), а PKCS #1 v1.5 применяется в сертификатах X.509, все программное обеспечение, которое использует OpenSSL для проверки сертификатов X.509, потенциально уязвимо». Ошибка влияет на версии OpenSSL до 0.9.7j и 0.9.8b.
Как утверждает секьюрити-фирма Netcraft, этот способ подделки цифровой подписи был впервые продемонстрирован в августе на конференции Crypto 2006 криптографом из Bell Labs Даниэлем Бляхенбахером (Daniel Bleichenbacher). OpenSSL успешно подделала некоторые подписи и подготовила исправления с применением Google Security.
Постоянная ссылка к новости: http://www.nixp.ru/news/7760.html. Дмитрий Шурупов по материалам zdnet.ru.
В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800) 3
Core Infrastructure Initiative от Linux Foundation стала главным спонсором OpenBSD Foundation 1
OpenSSL меняет лицензию на стандартную Apache License, подписывает соглашения CLA с разработчиками
Amazon выпустила свою Open Source-реализацию SSL/TLS — s2n 2
Состоялся релиз свободного криптографического пакета OpenSSL 1.0.2
Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle» 2 1
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1