Logjam - Diffie-Hellman gyengeség

 ( trey | 2015. május 20., szerda - 18:29 )

A Diffie-Hellman (DH-t) kulcscsere alapvető számos protokollhoz (pl. HTTPS, SSH, IPsec, SMTPS). Kutatók most azt állítják, hogy számos problémát találtak azzal kapcsolatban, ahogy a DH-t munkára fogják. Érintett lehet, aki:

  • szervert üzemeltet
  • webböngészőt használ
  • rendszereket adminisztrál vagy bizonyos alkalmazásokat fejleszt

A részletek elolvashatók a weakdh.org-on. Tesztoldal itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

+1

Lassan nem marad megbízható része az openssl -nek...

----
올드보이
http://molnaristvan.eu/

Ha jól értem nem az OpenSSL bugos, hanem ahogy használjuk.

Igen. Írva vagyon, hogy minden kulcscsere esetén új publikus kulcsot kell generálni.

Fuszenecker Róbert

Érintett lehet: szervert használ / klienst használ. Nem lenne egyszerűbb azt írni, hogy kb mindenki? Igaz mondjuk aki a mai napig telnetet és ftpt használ, az röhög a markába, hogy a hülye szekuritisek eddig mit görcsöltek a titkosításukkal, oszt minek?

Túlzás lenne azt állítani azért, mert ha valaki mondjuk egy darab böngészőn kívül mást nem használ, az nem biztos, hogy érintett:

"Good News! Your browser is safe against the Logjam attack."

--
trey @ gépház

Lassan ott tartunk hogy megint elővehetjük az ősi technikákat. Borítékban küldött floppy-hoz már nincs a hekkereknek olvasója.
A lyukkártya pedig már a legmagasabb biztonsági követelményeket is kielégíti, aki tudta még olvasni, az már olyan öreg hogy úgysem látja, vagy ha igen, kiöregedett már a hekkerkedésből.

:D

(sub)

"The fact that LogJam can only be exploited when hackers and targets are on the same network, as well as patches being imminent, means that hype around it is likely to be a bit of a storm in a tea cup," said Ross Brewer, from security research company LogRhythm.

(LogJam encryption flaw fix will block some websites)

--
trey @ gépház

Érintett lehet aki böngészőt használ. ~3 milliárd ember? :)

--
arch,debian,openelec,android

Lekattintottad a linket? Mit írt ki a böngésződre? Érintett vagy?

--
trey @ gépház

Mit írt ki a böngésződre? Érintett vagy?

https://www.internetkon.hu/szajbarago/

Daphne van der Kroft: "State of play in [Dutch] internet politics: less security and more surveillance"

IE 11, nem érintett.
Webes vackaim szintén.

Kösz az infót!

"Warning! Your web browser is vulnerable to Logjam and can be tricked into using weak encryption. You should update your browser. "
"Congrats! You’re using the latest version of Firefox. "

https://flic.kr/p/ttrtra

--
trey @ gépház

ilyenem nekem is van:
http://ibin.co/22ol2un06ZzM

(nem hiszem, hogy en allitottam volna valamit el a rokaban (vagy hogy me'g el lehet egyaltalan))

nálam mind a kettő/FF38.0/
noscript: https://dhe512.zmap.io forbid ok
noscript: https://dhe512.zmap.io allow warning

https://dhe512.zmap.io/
If you can view this page, your browser is vulnerable to the LogJam attack.

lehetséges megoldás:
a következő kettőt false-ra kell állítani az about:config-ban
security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha

ezután:
https://dhe512.zmap.io/
Secure Connection Failed

An error occurred during a connection to dhe512.zmap.io. Cannot communicate securely with peer: no common encryption algorithm(s). (Error code: ssl_error_no_cypher_overlap)

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.

Report this error

Kezdjük tehát a vizsgálatot ott, annál a kérdésnél, ahová feltett szándékuk, hogy soha ne jussunk el. A kérdés, hogy bármilyen demokratikus önkormányzat, bárhol, összhangban van-e az ilyesfajta hatalmas, mindent átható felügyelettel, amelybe az Amerikai Egyesült Államok kormánya vezette nem csak az amerikaiakat, hanem az egész világot.

Ez valójában nem egy bonyolult vizsgálat.

Örömmel tudatom, hogy a KFKI Telephely területén, a 18-as épület helyén az MTA WIGNER [CERN Data Centre] tenderünket a Persecutor Kft. nyerte meg.

https://projectbullrun.org/surveillance/2015/video-2015.html

Christian Grothoff (INRIA), Adi Shamir, Daniel J. Bernstein (MITM) stb.

Szakadnal meg :)

Én megszakadtam, méghozzá a röhögéstől. :D

"Örömmel tudatom, hogy a KFKI Telephely területén, a 18-as épület helyén az MTA WIGNER [CERN Data Centre] tenderünket a Persecutor Kft. nyerte meg."

Miért kell ennek örülni? Vagy hogy jön ez most ide?

spambot.

Szerintem csak camouflage akar lenni a szöveg az érdemli linkek körül. :D

--
trey @ gépház

Végtelenszer elkezdtük ezt a vizsgálatot, de eredményt még nem láttam. Lesz az is egyszer? Vagy így misztikusabb?


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

ahogyan jonne ezek a hirek, egyre jobban ertheto pedig :p

--
NetBSD - Simplicity is prerequisite for reliability

A stable Chrome-ban még mindig nem javították: Version 43.0.2357.81 m - pedig már van rá fix: Chromium issue #490240

Most javitottak :)

Version 44.0.2403.89 m (64-bit)