OpenSSL が、NSA に汚染された暗号を利用するのが心配？　バグはあなたの味方だ～ソフトウェアの欠陥によって、不審な乱数発生器が無効化されていたことが判明（The Register）

この fips_drbg_ec.c に存在したバグは、1 ラインを変更するだけで、Dual EC DRBG の状態をアップデートし、利用できるように修正することが可能だった。これはソフトウェアの失態が有益な副作用をもたらした希少な例である。

国際 TheRegister

32 views

2013.12.27 Fri 8:30

米国と英国のスパイが、今日の暗号化システムのキーコンポーネンツを意図的に無力化していた恐怖が高まる中で、OpenSSL のユーザーは、ひとつのことに関しては明確に安心することができる。

その暗号ツールキット――HTTPS のウェブブラウザから、安全なターミナルのための SSH まで、大量のソフトウェアで用いられている――が、評判の落ちた乱数発生器 Dual EC DRBG を利用していないことが明らかとなった。

それは現在「修復される予定のない」ことが明確となったバグのおかげである。

《ScanNetSecurity》

特集

PageTop

アクセスランキング

ランキングをもっと見る

PageTop

OpenSSL が、NSA に汚染された暗号を利用するのが心配？　バグはあなたの味方だ～ソフトウェアの欠陥によって、不審な乱数発生器が無効化されていたことが判明（The Register）

関連記事

Microsoft、Cisco：「RC4 暗号は有害だと考えられる、とにかく回避せよ」～素敵な AES-GCM を試してみてはどうだ。SHA-1 を捨てることも忘れないで（The Register）

「耐 NSA」暗号化ユーティリティ TrueCrypt、クラウドファンディング型の監査にゴーサイン～緻密なコード検査が、隠されたバックドアの存在の疑いを吹き飛ばすことに期待する開発者たち（The Register）

NIST、「NSA を喜ばせるため故意に暗号規格を弱体化した疑い」を否定～同機関の信頼は損なわれたと Bruce Schneier は発言（The Register）

なぜ英国の諜報部は、SSL の暗号化を軽くあしらうだけだったのか。いま、我々はその理由を知っている～HTTPS は盗聴を妨げ、ウェブを濾過するって？彼らはすでに暗号破りの手法を手に入れている（The Register）

特集

アクセスランキング

マネーフォワードが利用する「GitHub」の認証情報が漏えい、リポジトリがコピーされる

あいおいニッセイ同和損害保険からの出向者がトヨタ自動車の内部情報を不適切に提供

東京精密の米国グループ会社にランサムウェア攻撃

未承認端末の検出・即時遮断製品と「Firebox」を連携（ウォッチガード、SecuLynx）

【新技術レポート】標的型メール攻撃に対する新しい防御のしくみ－富士通社員10万人が使う誤送信ソリューションを拡張