¿El módulo FIPS de openSSL con base fija aborda un riesgo de seguridad?

1

La última biblioteca openSSL tiene un módulo FIPS que debe construirse con una dirección base fija para que se llame compatible con FIPS. La razón detrás de esto es que tener una dirección base fija les permite hacer una verificación de integridad de la biblioteca.

Personalmente, creo que esto es un riesgo de seguridad ya que los atacantes conocen la dirección base exacta de la biblioteca y pueden usar esa ubicación para ejecutar ataques. Especialmente ataques como el retorno al ataque libc o la programación orientada al retorno. ¿Me estoy perdiendo algo aquí?

    
pregunta Limit 25.05.2016 - 19:06
fuente

1 respuesta

3

Tener una dirección conocida no es un gran riesgo. La única medida de seguridad que derrota es ASLR , y ASLR es simplemente una técnica para hacer que los exploits sean más difíciles, rara vez los hace imposible.

¡La mejor defensa contra ataques no es tener una vulnerabilidad en primer lugar!

Esta , no la dirección fija, es la razón por la que el uso de una versión de OpenSSL certificada por FIPS es perjudicial para la seguridad. A medida que se descubren inevitablemente nuevos errores, los usuarios deben parchearlos lo más rápido posible, antes de que salgan las vulnerabilidades. Tan pronto como haya solucionado el error, ya no estará ejecutando una versión certificada. Si necesitó la certificación en primer lugar, deberá esperar una versión certificada con la corrección de errores, que generalmente toma meses si el proveedor incluso se molesta en hacer una.

Dado que la certificación FIPS de OpenSSL no es realmente una certificación de seguridad (el nivel 1 de FIPS 140 es poco más que una verificación de que las funciones se calculan correctamente, los aspectos de seguridad son prácticamente nulos), la única razón para usar la versión FIPS en lugar de la última versión estable es si tiene que marcar la casilla de verificación "FIPS validado" en un formulario de compra.

    
respondido por el Gilles 25.05.2016 - 20:23
fuente

Lea otras preguntas en las etiquetas