OpenSSL が、NSA に汚染された暗号を利用するのが心配？　バグはあなたの味方だ～ソフトウェアの欠陥によって、不審な乱数発生器が無効化されていたことが判明（The Register）

この fips_drbg_ec.c に存在したバグは、1 ラインを変更するだけで、Dual EC DRBG の状態をアップデートし、利用できるように修正することが可能だった。これはソフトウェアの失態が有益な副作用をもたらした希少な例である。

国際 TheRegister

32 views

2013.12.27 Fri 8:30

米国と英国のスパイが、今日の暗号化システムのキーコンポーネンツを意図的に無力化していた恐怖が高まる中で、OpenSSL のユーザーは、ひとつのことに関しては明確に安心することができる。

その暗号ツールキット――HTTPS のウェブブラウザから、安全なターミナルのための SSH まで、大量のソフトウェアで用いられている――が、評判の落ちた乱数発生器 Dual EC DRBG を利用していないことが明らかとなった。

それは現在「修復される予定のない」ことが明確となったバグのおかげである。

《ScanNetSecurity》

特集

PageTop

アクセスランキング

ランキングをもっと見る

PageTop

OpenSSL が、NSA に汚染された暗号を利用するのが心配？　バグはあなたの味方だ～ソフトウェアの欠陥によって、不審な乱数発生器が無効化されていたことが判明（The Register）

関連記事

Microsoft、Cisco：「RC4 暗号は有害だと考えられる、とにかく回避せよ」～素敵な AES-GCM を試してみてはどうだ。SHA-1 を捨てることも忘れないで（The Register）

「耐 NSA」暗号化ユーティリティ TrueCrypt、クラウドファンディング型の監査にゴーサイン～緻密なコード検査が、隠されたバックドアの存在の疑いを吹き飛ばすことに期待する開発者たち（The Register）

NIST、「NSA を喜ばせるため故意に暗号規格を弱体化した疑い」を否定～同機関の信頼は損なわれたと Bruce Schneier は発言（The Register）

なぜ英国の諜報部は、SSL の暗号化を軽くあしらうだけだったのか。いま、我々はその理由を知っている～HTTPS は盗聴を妨げ、ウェブを濾過するって？彼らはすでに暗号破りの手法を手に入れている（The Register）

特集

アクセスランキング

社内システム不当操作送配電事業者の従業員が電気を約 9 年間不正使用

スキー場の早割リフト券を販売している EC サイトに不正アクセス、利用者からの問い合わせで発覚

不審な通信ログ検知し発覚～日本ビジネスシステムズに不正アクセス

STNet のネットワークに不正アクセス、利用者の個人情報等が漏えいした可能性

Pep Up への不正アクセス、リスト攻撃とメールアドレスに生年月日記載でメールによる 2 段階認証突破された侵害事例

関連記事

Microsoft、Cisco：「RC4 暗号は有害だと考えられる、とにかく回避せよ」～素敵な AES-GCM を試してみてはどうだ。SHA-1 を捨てることも忘れないで（The Register）

「耐 NSA」暗号化ユーティリティ TrueCrypt、クラウドファンディング型の監査にゴーサイン～緻密なコード検査が、隠されたバックドアの存在の疑いを吹き飛ばすことに期待する開発者たち（The Register）

NIST、「NSA を喜ばせるため故意に暗号規格を弱体化した疑い」を否定～同機関の信頼は損なわれたと Bruce Schneier は発言（The Register）

なぜ英国の諜報部は、SSL の暗号化を軽くあしらうだけだったのか。いま、我々はその理由を知っている～HTTPS は盗聴を妨げ、ウェブを濾過するって？彼らはすでに暗号破りの手法を手に入れている（The Register）

特集

アクセスランキング

社内システム不当操作 送配電事業者の従業員が電気を約 9 年間不正使用

スキー場の早割リフト券を販売している EC サイトに不正アクセス、利用者からの問い合わせで発覚

不審な通信ログ検知し発覚 ～ 日本ビジネスシステムズに不正アクセス

STNet のネットワークに不正アクセス、利用者の個人情報等が漏えいした可能性

Pep Up への不正アクセス、リスト攻撃とメールアドレスに生年月日記載でメールによる 2 段階認証突破された侵害事例

社内システム不当操作送配電事業者の従業員が電気を約 9 年間不正使用

不審な通信ログ検知し発覚～日本ビジネスシステムズに不正アクセス