Закон Грехэма

Пустяковые вопросы решаются быстро; важные никогда не решаются.

Диалог пользователя и Windows: ...

В Firefox 69 будет по умолчанию отключен Flash
Mon, 17 Jun 2019 10:49:33 +0300

Ubuntu будет поставлять Chromium только в виде snap-пакета
Mon, 17 Jun 2019 08:46:14 +0300

В Firefox 68 появится новый менеджер дополнений
Sat, 15 Jun 2019 09:51:55 +0300

Готовится версия Astra Linux для смартфонов
Thu, 13 Jun 2019 14:30:08 +0300

Опубликованы сборки Windows Insider с подсистемой WSL2 (Windows Subsystem for Linux)
Thu, 13 Jun 2019 13:50:29 +0300

CERN отказывается от продуктов Microsoft в пользу открытого ПО
Thu, 13 Jun 2019 12:31:14 +0300

Подготовка CentOS 8 отстаёт от графика
Thu, 13 Jun 2019 07:41:35 +0300

Выпуск децентрализованной коммуникационной платформы Matrix 1.0
Wed, 12 Jun 2019 11:47:06 +0300

Представлены новые логотипы Firefox и связанных с ним сервисов
Wed, 12 Jun 2019 09:54:00 +0300

Выпуск Debian 10 запланирован на 6 июля
Wed, 12 Jun 2019 09:02:55 +0300

Непрекращающаяся DDoS-атака на OpenClipArt
Tue, 11 Jun 2019 10:48:00 +0300

Huawei обсудил возможность использования Авроры/Sailfish в качестве альтернативы Android
Tue, 11 Jun 2019 08:07:05 +0300

Позиция Blender по поводу свободного характера проекта и платных GPL-дополнений
Sun, 09 Jun 2019 21:15:00 +0300

Mozilla планирует запустить платный сервис Firefox Premium
Sun, 09 Jun 2019 09:50:11 +0300

Бывший техдиректор NPM развивает распределённый репозиторий пакетов Entropic
Fri, 07 Jun 2019 23:00:34 +0300

Новости OPENNET
Новости

Проблемы с энтропией при генерации серийных номеров при помощи инструментария для удостоверяющих центров EJBCA привели к формированию более миллиона TLS-сертификатов, подлежащих отзыву. Наибольшее количество проблемных сертификатов было выписано компаниями Apple, GoDaddy, Google, Actalis и SSL.com.

Проблема связана с использованием при формирования серийных номеров случайного числа, включающего 63 бита энтропии, вместо 64 бит. Соответственно сложность подбора каждого числа снизилась с 264 до 263 комбинаций (разница около 9 квинтиллионов). Требования, регламентирующие деятельность удостоверяющих центров, с сентября 2016 года предписывают применение как минимум 64-разрядных серийных номеров, поэтому все находящиеся в обиходе проблемные сертификаты подлежат отзыву и замене.

Использование 63 бит вместо 64 обусловлено тем, что при генерации серийного номера пакетом EJBCA не было учтено приведение значения к положительному целому числу. Чтобы избежать появления отрицательных значений и для соответствия требованиям спецификации в формируемом числе принудительно очищается старший бит, что должно учитываться при настройке пакета EJBCA, который поддерживает генерацию серийных номеров в диапазоне от 32 до 160 бит. Получение 64-битового значения без учёта описанной особенности (фактическое поведение при настройках по умолчанию отличается от ожидаемого) привело к тому, что значение одного бита оказалось изначально известным.

Снижение числа бит в серийном номере незначительно снижает стойкость сертификата к атакам, основанным на подборе коллизий - становится проще подобрать параметры, на основе которых можно получить поддельный сертификат с идентичной цифровой подписью. Тем не менее стойкости 63 битовой энтропии более чем достаточно для обеспечения безопасности в современных реалиях и угроза компрометации исключена даже при использовании уязвимых хэш-функций MD5 и SHA1, которые на практике не применяются и не поддерживаются браузерами с начала 2017 года.

Наибольшее число проблемных сертификатов было создано компанией Apple - около 878 тысяч TLS-сертификатов, из которых время жизни ещё не истекло для 558 тысяч. Ещё около двух тысяч проблемных сертификатов было сгенерировано для S/MIME. Сертификаты генерировались с 2016 года. В 2017 году в процессе автоматизированного тестирования было выдано предупреждение о недостаточном размере серийного номера, но данное предупреждение по недосмотру оказалось не замечено.

Некоторые другие охваченные проблемой удостоверяющие центры:

  • Компания Actalis выдала 350 тысяч проблемных сертификатов, из которых остаются активными 224 тысячи.
  • Компания GoDaddy изначально предположила наличие 1.8 млн проблемных сертификатов, но точный анализ показал, что проблема присутствовала только в 286 тысячах сертификатов, из которых 12152 остаются активными (проблемные сертификаты выписывались с 2016 года).
  • Компания Google с 2016 года выписала около 100 тысяч проблемных сертификатов, из которых активными остаются только 7100.
  • Компания SSL.com сформировала 6931 проблемных сертификатов.
  • Компания Camerfirma выдала 924 проблемных сертификата, все из которых активны.
  • Компания QuoVadis выдала 157 проблемных TSL-сертификатов и 118 сертификатов S/MIME, все из которых активны;
  • Компания Siemens сгенерировала 35 проблемных сертификатов;

Так как сертификаты должны быть отозваны в течение 5 дней (пункт 4.9.1.1 правил, регламентирующих работу удостоверяющих центров), в ближайшее время возможно появление предупреждений о проблемах с безопасным доступом к сайтам, с владельцами которых не смогли связаться удостоверяющие центры или администраторы которых не успели установить новый сертификат.

9.306 72.6993 0.5954 64.4326

НОВОСТИ: Выпуск BackBox Linux 6, дистрибутива для тестирования безопаснос ... Wed, 12 Jun 2019 09:07:56 +0300

Доступен релиз Linux-дистрибутива BackBox Linux 6, базирующегося на Ubuntu 18.04 и поставляемого с коллекцией инструментов для проверки безопасности системы, тестирования эксплоитов, обратного инжиниринга, анализа сетевого трафика и беспроводных сетей, изучения вредоносного ПО, стресс-тестирования, выявления скрытых или потерянных данных. Пользовательское окружение основано на Xfce. Размер iso-образа 2.5 Гб (i386, x86_64).

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome