»

Microsoft popravil površni generator naključnosti

Prvotni "random"

vir: ComputerWorld
ComputerWorld - Popolne naključnosti (brez namenske strojne opreme seveda) v računalništvu sicer ni, a generatorji psevdonaključnih števil so dovolj izpopolnjeni, da bi moralo biti sprogramirati za uporabnika dovolj naključno sekvenco mačji kašelj. Microsoftu vprvo to ni uspelo.

Govorimo o novem oknu za izbor privzetega brskalnika v operacijskem sistemu, ki ga je od Microsofta izposlovala EU. V njem se pojavi pet brskalnikov (IE, Firefox, Chrome, Opera, Safari), in sicer vsakokrat v drugem, naključnem vrstnem redu. Arhitekt programske opreme iz IBM-a Rob Weir je Microsoftu očital, da so naključnost sprogramirali površno. Zaradi začetniške napake (polje so posortirali s posebno primerjalno funkcijo) se je...

34 komentarjev

Nate Lawson o varnosti kriptografije

Slo-Tech - Nate Lawson je imel 5. avgusta letos na Google Tech Talk predavanje na temo varnosti kriptografije z naslovom Crypto Strikes Back!.

Številne kriptografske metode so danes dobro preizkušene in so postale kar nekako standardne, navadno pa se zaplete pri njihovi implementaciji. Lawson tako na predavanju predstavi nekaj glavnih težav pri implementaciji kriptografije, od tim. side-channel napadov, do napak pri implementaciji algoritmov za izračun kontrolnih vsot. Dotakne se tudi slavne Debian PRNG ranljivosti ter posledic za DSA digitalne podpise.

Ob hitri menjavi ključev se je namreč kar nekako spregledalo, da so ranljivi tudi vsi DSA ključi, ki so bili zgolj uporabljeni v sistemih z okvarjenim generatorjem naključnih števil.

Lawson namreč na svojem blogu ugotavlja, da je varnost DSA zelo odvisna od varnosti tim. naključnega izziva (ang. random challenge) k. Če je ta parameter znan, je namreč mogoče izračunati celoten zasebni ključ uporabnika. To pa pomeni, da napadalec lahko v...

4 komentarji

Ali bo Vista SP1 vseboval stranska vrata za NSA?

Slashdot - Schneier poroča, da so se pri Microsoftu odločili dodati Dual_EC-DRBG generator naključnih števil v paket popravkov za Visto. Prav o tem generatorju naključnih števil je bilo že veliko govora, saj ga je odobril sam NSA kot zanesljivega, pri čimer pa se poraja dvom ali niso v njem skrita kakšna stranska vrata.

Vir

SP1 za Visto pušča grenek priokus, še preden smo ga zaužili...

33 komentarjev

Varnost generatorjev naključnih števil

Schneier.com - Generatorji naključnih števil so zelo pomembni za varno delovanje kriptografskih aplikacij, zato je zelo pomembno, da le-ti generirajo čimbolj naključna števila. Varnost kriptografije je namreč odvisna tudi od varnosti generatorjev naključnih števil.

Žal so nekatere raziskave pokazale, da generatorji naključnih števil v nekaterih operacijskih sistemih niso dovolj zanesljivi. Raziskava Dorrendorfa, Guttermana in Pinkasa iz novembra letos je pokazala, da generator naključnih števil v Windows 2000 ni varen. Algoritem, ki se uporablja tudi za generiranje SSL ključev namreč ni bil javno objavljen, analiza pa je pokazala, da je mogoče z razmeroma preprostimi napadi predvideti prihodnje "naključne" vrednosti in s tem uganiti npr. SSL šifrirne ključe.

Seveda pa niti uporabniki operacijskega sistema Linux niso varni. Raziskava iz marca 2006 je namreč odkrila številne ranljivosti tudi v generatorju naključnih števil v tem operacijskem sistemu.

Ameriški National Institute of Standards...

48 komentarjev

Hrvaška naključnost zastonj

Slashdot - Čeprav se zdi vpraševanje po naključnosti (angleško random) nepoučenemu opazovalcu rahlo prismojeno, pa so se okrog tega pojma bíle že hude bitke. Namreč, ali obstaja tako imenovani true random ali ne? Na tem mestu podajam zgolj dve izmed več zelo zanimivih debat na našem forumu: Poznano je dejstvo, da računalniški program, ki teče na običajnem PC-ju, ne zmore zgenerirati popolnoma naključnega števila (true random). Da se vam pasjansa ne bi postavila vsakokrat enako, si programerji pomagajo z opazovanjem ali detekcijo mnogo nepovezanih dogodkov, za katere je majhna verjetnost, da se bodo ponovili. Tako vaš mlinček preveri odzivni čas (ping) do neke prednastavljene internetne...

56 komentarjev

Razbite GPS kode Galilea

Slashdot - Newswise poroča, da so člani Cornell's Global Positioning System laboratorija uspeli razbiti kode za psevdo naključna števila (pseudo random number - PRN) evropske različice satelitske navigacije Galileo. To pomeni, da bodo lahko uporabniki brezplačno uporabljali GPS sprejemnike.

Za razliko od sistema GPS, ki je brezplačen (uporabnik mora kupiti le sprejemnik), pa je Galileov signal šifriran, saj njegovi lastniki želijo služiti z licenčnino za kode za psevdo naključna števila. Ker pa si GPS in Galileo delita frekvenčno območje, je bil med ZDA in EU podpisan sporazum, da bo del PRN kod odprtokoden. Člani Cornell GPS labolatorija so na začetku januarja zaprosili za te kode, vendar jih niso dobili. Zato so se lotili razbijanja kod, kar jim je uspelo do začetka aprila. Naslednji dan po objavi kod na njihovi spletni strani, je kode uporabil komercialni proizvajalec GPS sprejemnikov NovAtel iz Kanade in pričel za navigacijo uporabljati Galileov satelit GIOVE-A.

18 komentarjev