The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

12.04.2014 23:45  Компания Akamai предложила безопасную систему распределения памяти для OpenSSL

Обеспокоенная вопросом обеспечения высокого уровня безопасности проекта OpenSSL, компания Akamai, поддерживающая крупнейшую сеть доставки контента, предложила разработчикам OpenSSL патч с реализацией нового менеджера распределения памяти, позволяющего обеспечить безопасное нахождение приватных ключей в оперативной памяти.

Для хранения особо важных данных, таких как RSA-ключи, вместо OPENSSL_malloc предлагается использовать функцию secure_malloc, размещающую данные в безопасной области, помещённой в отдельной куче (непрерывный участок памяти, сформированный через mmap) и обрамлённой сверху и снизу дополнительными защищающими страницами памяти, мешающими проникновению по блуждающим указателям. Кроме того, выделяемая через secure_malloc область закреплена за ОЗУ и не может быть вытеснена или отображена на диск, а также, когда это возможно, не будет фигурировать в core-дампах.

Реализация secure_malloc основана на коде, уже около десяти лет используемом в Akamai для надёжной защиты ключей пользователей. Тем не менее, патч является скорее прототипом для реализации похожей системы, чем решением, готовым для немедленного внедрения в OpenSSL. Например, патч не заботится о переносимости и привязывается к коду ASN1 вместо создания нового API. При этом, если бы подобная технология была добавлена в OpenSSL раньше, она бы позволила избежать утечки закрытых ключей из памяти в процессе эксплуатации уязвимости Heartbleed.

  1. Главная ссылка к новости (https://blogs.akamai.com/2014/...)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: malloc, openssl, memory
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, anonymous, 00:22, 13/04/2014 [ответить] [смотреть все]    [к модератору]
  • +4 +/
    Что плохого в ASN.1, если это тот ASN.1? Как раз-таки новые API будут явно хуже... А переносимость - взять либу из net-snmp и норм. Ну, виндyзятникoв не считаем, они должны cтрадaть.
     
     
  • 2.2, Аноним, 00:29, 13/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • –4 +/
    Оно и видно - у openssl замечательное API Правда, секурно им пользоваться никто... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, Sabakwaka, 01:24, 13/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    OpenSSL 8212 грязная лапша, подлежащая рефакторингу Восемь лет назад было до... весь текст скрыт [показать]
     
     
  • 4.8, Ordu, 02:06, 13/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    > Под шланг с нуля.

    Где ссылка на твой репозиторий?

     
     
  • 5.21, Хрен с горы, 11:44, 13/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    https://hg.mozilla.org/projects/nss
     
     
  • 6.22, YetAnotherOnanym, 12:31, 13/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    > https://hg.mozilla.org/projects/nss

    Может, NaCl тоже его проект? ;)

     
     
  • 7.61, Аноним, 02:05, 15/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Вам пример либы надо или "сперва добейся"?
     
  • 4.10, Аноним, 02:38, 13/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    > OpenSSL — грязная лапша, подлежащая рефакторингу.

    Для начала отреFUCKторить надо TLS. В том виде каком оно сейчас - это хрен с два кто сможет секурно использовать.

    > Под шланг с нуля.

    Вроде для грибочков еще рано. А у вас вроде уже сезон.

     
     
  • 5.16, Аноним, 07:59, 13/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    У него свои.
     
  • 4.28, Аноним, 13:36, 13/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Так-то оно так, но какие альтернативы? GnuTLS не сильно лучше, к сожалению.
     
  • 4.59, Аноним, 00:31, 15/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ну технически - бабло Тео, правительство США - платило не за красные глаза ... весь текст скрыт [показать]
     
  • 2.50, Кирилл, 12:44, 14/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    А ASN тут причём Он просто описывает структуры сертификатов Вернее даже не кон... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Аноним, 00:32, 13/04/2014 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Ну будем надеяться, что компания из США - Akamai, не очередная АНБшная компания-... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 08:09, 13/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    ну как-бы, ЦРУ-шная а точнее - у них есть совместное агенство, вместе с DoS, DoC... весь текст скрыт [показать] [показать ветку]
     
  • 2.24, YetAnotherOnanym, 12:35, 13/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Поставьте себя на место сотрудника АНБ и подумайте - можете Вы позволить такой о... весь текст скрыт [показать] [показать ветку]
     
  • 2.27, Аноним, 13:30, 13/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Кто угодно может оказаться агентом АНБ Единственное решение - аудит кода незави... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, 7я колонна, 17:58, 13/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ага, аудит кода независимыми аудиторами из АНБ А если вдруг они будут не из ... весь текст скрыт [показать]
     
  • 2.39, Аноним, 00:19, 14/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Тут сам Тео заявил - http article gmane org gmane os openbsd tech 35722 - что ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, rob pike, 01:18, 14/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    То, что не нравится Тео, лицензиями не решается Точно так же OpenSSH под GPL вс... весь текст скрыт [показать]
     
  • 3.43, Elhana, 05:58, 14/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Причем тут Theo и спасиб OpenSSL в отличие от OpenSSH это не проект OpenBSD, хо... весь текст скрыт [показать]
     
  • 2.51, Кирилл, 12:46, 14/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Весь интернет, весь, это АНБэшная сеть И чего Котигов, порнуху, сериалы и трус... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.58, Аноним, 22:16, 14/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ссылку
     
     
  • 4.67, Тампарам, 02:25, 17/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    http://item.rakuten.co.jp/lux-style/c/0000000213/
     
  • 2.62, _yurkis_, 10:00, 15/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    В противном случае, будет уже совсем весело Блин, там же патч лежит Небольшо... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Аноним, 00:50, 13/04/2014 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    ха, один из крупнейших инвестпроектов ODNI, наряду с Фэйсбуком - выдвигает иници... весь текст скрыт [показать]
     
     
  • 2.11, Аноним, 02:40, 13/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Особенно удачно они NIST у ГПСЧ новый впарили ... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноним, 02:20, 13/04/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    Каким блин хреном аллокатор связан с ASN.1?
     
     
  • 2.52, Кирилл, 12:53, 14/04/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > Каким блин хреном аллокатор связан с ASN.1?

    Никаким.

     
  • 1.12, Аноним, 03:18, 13/04/2014 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    какой-то бред Единственный способ более-менее защититься это хранить ключи в от... весь текст скрыт [показать]
     
     
  • 2.13, Аноним, 03:22, 13/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Кэп намекает что нормальная практика вообще-то затирать ключи после того как они... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Logo, 03:54, 13/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Думаю, вы оба достойны внимания, спасибо.
     
     
  • 4.64, Гость, 00:25, 16/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Медицинского? )
     
  • 3.29, Аноним, 13:49, 13/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    К сожалению, для https он требуется постоянно Все, что можно - и так затирается... весь текст скрыт [показать]
     
     
  • 4.31, Аноним, 16:53, 13/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Простите Что именно вам требуется постоянно Приватный ключ сертификата Заче... весь текст скрыт [показать]
     
  • 4.34, Аноним, 18:13, 13/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    решение от Akamai это обряд нужно срочно что-то сделать сделали, отлично, м... весь текст скрыт [показать]
     
     
  • 5.63, _yurkis_, 10:01, 15/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Полная безопасность это вариант сферического коня в вакууме ... весь текст скрыт [показать]
     
  • 1.15, maxis11, 04:39, 13/04/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    > "Yes, rats.  My message implied that we do that.  And I then posted the wrong version of the code. :("

    Ну что за ... Они там (разрабы в Akamai) кажись не умеют пользоваться системой контроля версий.

     
     
  • 2.23, Аноним, 12:32, 13/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    У них ее никога и не было git init git add -A git commit -m trololo git diff... весь текст скрыт [показать] [показать ветку]
     
  • 1.19, Александр Патраков, 10:46, 13/04/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    Ну и зачем это сделано?

    От утечки чужих Cookies это бы не защитило, так как особая схема распределения памяти применяется только к закрытому ключу. И, как любая другая нестандартная схема распределения памяти, это сводит эффективность valgrind'а и встроенных в ОС средств защиты к нулю.

     
  • 1.32, Аноним, 17:37, 13/04/2014 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А как обсирали своё еще совсем недавно http www opennet ru openforum vsluhforu... весь текст скрыт [показать]
     
  • 1.36, Xasd, 18:16, 13/04/2014 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    > При этом, если бы подобная технология была добавлена в OpenSSL раньше, она бы позволила избежать утечки закрытых ключей из памяти

    идиоты...

    взлом потенциально позволил извлечь ДЕЙСТВИТЕЛЬНО важные данные, а не только ключи OpenSSL.

    кому эти ключи OpenSSL, нужны если взломщик смог добраться до всей памяти обрабатывающего процесса.

     
     
  • 2.37, Аноним, 19:34, 13/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Не всей памяти, а только окна в 64К... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, Аноним, 00:22, 14/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Но даже там порой находится что-то интересное При том на вопрос а какого хрена... весь текст скрыт [показать]
     
     
  • 4.46, Xaionaro, 11:20, 14/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А какая бывает удачная практика передачи хешей вместо plaintext паролей на web... весь текст скрыт [показать]
     
     
  • 5.47, Аноним, 12:11, 14/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Никакой. Какая нахрен разница, уведут у тебя пароль или хэш его?
     
     
  • 6.53, Xaionaro, 13:28, 14/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    9452-проходный SHA512-хеш с солью, смещениями и другими защитами неплохо повышае... весь текст скрыт [показать]
     
     
  • 7.55, Аноним, 15:44, 14/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Мы все еще говорим про web Нафик ему твой пароль, если он может перехватить и о... весь текст скрыт [показать]
     
     
  • 8.56, Xaionaro, 16:30, 14/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А вы никогда не читать как всякие CHAP-ы работают Пусть хоть ушлётся моим парол... весь текст скрыт [показать]
     
  • 1.38, Аноним, 20:36, 13/04/2014 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Казалось бы, там, в аллокаторе нужно было сделать обнуление выделенной памяти Н... весь текст скрыт [показать]
     
     
  • 2.48, Аноним, 12:12, 14/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Починил ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, анан, 13:41, 14/04/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Городить собственный аллокатор - вот это негодуэ. Это только начало...
     
     
  • 4.66, Аноним, 01:09, 16/04/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    начало начала начал, если быть точным linux - начинался с написания драйвера к... весь текст скрыт [показать]
     
  • 1.45, 0xd34df00d, 10:31, 14/04/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    На самом деле нет: http://lekkertech.net/akamai.txt
     
     
  • 2.65, Гость, 00:30, 16/04/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Наконец кто-то заревьювил код Акамая, ради чего виlимо и выкладывали ... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor