¿Quién propuso agregar latidos a SSL? ¿Y quién propuso la forma?

Navega tus respuestas
9

Ahora sabemos quién escribió el código incorrecto (Robin Seggelmann). Y tenemos una idea de por qué se necesita: ¿Por qué TLS ¿Necesita un protocolo explícito de latido?

También podemos entender por qué el cliente proporciona la longitud: Heartbleed: ¿Por qué el cliente proporciona la longitud del mensaje?

¿Pero quién propuso la forma del latido del corazón ssl? ¿Podría haber algún aporte nefasto de la NSA con la esperanza de que alguien lo codifique de forma incorrecta y lo deje vulnerable para que pueda husmear más fácilmente?

He escuchado rumores de que agregaron fallas a varios esquemas de encriptación (si pudiera citar cuáles y dónde lo haría), ¿podría ser esta otra forma en la que introdujeron inseguridad en su deseo de tener una copia de todo?

Sé que esto suena como si estuviera usando un sombrero de papel de aluminio, pero dado el tiempo que han hecho desde el 11 de septiembre, esto no parece estar fuera de lo posible.

    
pregunta boatcoder 13.04.2014 - 07:09
fuente

1 respuesta

10

El RFC6520 que describe los latidos del corazón tenía a R. Seggelmann de Muenster Univ. de apl. Las ciencias como primer autor. Seggelmann niega intencionalmente la introducción de la falla y afirma no estar asociado con ningún agencia de inteligencia . Del mismo modo, la NSA y el Director de Seguridad Nacional han negado públicamente que conocen la vulnerabilidad de Heartbleed, aunque Bloomberg informó a dos personas familiarizadas con el tema que la NSA sabía sobre la vulnerabilidad y la usaba regularmente .

Por supuesto, mirando los registros de egreso, parece que los atacantes estaban usando ataques de estilo en el corazón del año pasado desde direcciones IP que parecen haberse utilizado para registrar sistemáticamente los chats de IRC (lo que hace sospechar que son agencias de inteligencia). (Así que incluso si no introdujeron los latidos del corazón, parece que estaban conscientes de ello y no lo revelaron públicamente).

Además, lo extraño es que dos grupos independientes aparentemente descubrieron Heartbleed (Google y codenomicon) en el mismo día más de dos años después de que OpenSSL lanzó el protocolo HB vulnerable en 1.0.1. El ingeniero de Google tuiteó "Los patrones de asignación de pilas hacen que la exposición de la clave privada sea poco probable #heartbleed #dontpanic" , mientras que codenomicon tuiteó" Estamos muy seguros de que "las claves de cifrado pueden ser robadas .

    
respondido por el dr jimbob 13.04.2014 - 07:36
fuente

Lea otras preguntas en las etiquetas

¿Es aceptable generar sales con un hash del nombre de usuario? aplicación iOS: ¿contraseña de usuario hash en la aplicación o en el servidor?