Comments | dwarkin: А для крутых парней барабаны

dwarkin

А для крутых парней барабаны - часть 4

Dec 24, 2013 10:47

Первая часть.
Вторая часть.
Третья часть.«Как пали герои в битве» говорится в Библии. Наш сегодняшний рассказ о том, как пала RSA Security, что действительно нового рассказал нам Эдвард Сноуден, почему нужно было слушать Брюса Шнайера пять лет назад, и какой ужасающий вред может принести компании один единственный «эффективный менеджер» в ( Read more... )

nsa

Comments 23

yuki_yu December 24 2013, 09:23:56 UTC

дальше-дальше!

dwarkin December 24 2013, 09:26:32 UTC

уже пишу :)

yuki_yu December 24 2013, 09:29:59 UTC

мы RSA-token используем. мне интересно!

dwarkin December 24 2013, 09:33:56 UTC

это другой продукт. когда-то был Secure-ID. с ним отдельная неприятная история связана, постараюсь написать если хватит времени

Thread 5

stas December 24 2013, 09:54:58 UTC

Эту библиотечку и этот алгоритм, как я понял,не очень широко использовали. За одним важным исключением - NSA удалось её прописать в госстандарт (используя RSA Security как аргумент - дескать, индустрия поддерживает, best practices, все дела - такие зайчики). За что сейчас представителя NSA, видимо, выпрут из руководства комитета IETF по криптографии. Так что, похоже, NSA в основном сами себе свинью подложили в этом случае.

dwarkin December 24 2013, 10:03:02 UTC

Об этом как-раз следущая часть, но мне показалось, что там посследовательность действий была прямо противоположной - NSA пропихнуло это в NIST, a потом "договорилось" с RSA Security.

Все участники этой истории сами себе крепко подгадили.

Насчет широкого использования конкретно API - я не знаю, вчера погуглил немножко, набрел только на этот список:

http://www.emc.com/security/rsa-bsafe.htm#!customer_profiles

Если он верный, то это чуть ли тянет на тайную операцию ФСБ скорее :) Поганой криптографией никто кроме американских госструктур и не пользовался.

Но вот McAffee мелькал, и я думаю немало клиентов еще найдется.

stas December 24 2013, 21:23:09 UTC

Так Макафи тоже только для госструктур этим алгоритмом пользовался, пишут - потому что стандарт - а для других пользовался другим алгоритмом в той же библиотеке. В общем, NSA славно сработало на подрыв безопасности американского правительства. Прям хоть процесс вредителей затевай.

dwarkin December 24 2013, 20:46:33 UTC

перепроверил - ты прав, сначала RSA его начала использовать, потом уже пропихнули через NIST

_zlot_ December 24 2013, 10:21:57 UTC

*Ади Шамир

dwarkin December 24 2013, 10:24:04 UTC

sorry, бегу править.

curiousalex December 24 2013, 10:34:46 UTC

Тема интересная, спасибо. На счет случайных чисел более-менее понятно (ты же об этом раньше писал).
Кстати, вроде самый злобный GPL не предполагает, что факт использования библиотеки обязывает тебя открыть свой код. Как правило речь идет о том, что если ты модифицировал код библиотеки, которая под GPL, то любому своему клиенту ты обязан передать код модифицированной библиотеки, но не более того.
На мой взгляд, главная проблема с открытым кодом у менеджеров заключается в отсутствии номера телефона, куда можно позвонить, чтобы поорать.

dwarkin December 24 2013, 10:44:03 UTC

Это тебе понятно насчет случайных чисел :) многим, боюсь, что нет - так что придется пару параграфов написать "на пальцах", надеюсь, что не будет очень скучно для тех кто в теме.

Насчет лицензий на open source - OpenSSL еще добрые чуваки, всего лишь требуют упомянуть, что ты их используешь и не менять их код. BSD license тоже ок, но разные варианты GPL могут требовать, чтобы ты у себя на сайте (и возможно вместе с продуктом) предоставил их исходный код, даже тот, который использовал в отдельном модуле.

Насчет поорать - вообще-то да, но есть нюансы. Например новая версия или исправления - если у тебя чужой коммерческий продукт, то можно надеяться, что они тебя каким-то бюллетенем уведомят, при наличии software support. А тут надо своего работника назначать - следить за интернетом и от версии к версии update библиотек скачивать.

Я помню, что еще лет десять назаз, от одного обсуждения всех этих деталей многое R&Dшное начальство начинало звереть, сейчас вроде все привыкли уже и к Линуксам и к Open Source.

stas December 24 2013, 21:29:42 UTC

С GPL всё не так просто. Там вопрос упирается в то, что считать derived work, и на этот счёт существуют у адвокатов разные мнения, особенно учитывая, за какое мнение можно получить больше оплачиваемых часов. Поэтому от GPL коммерческие фирмы стараются держаться подальше. Особенно после историй типа SCO - судят-то потом не авторов софта, а богатых клиентов, потому что деньги у них. Кому такие проблемы нужны?

Есть ещё LGPL - с ним проще (в общем то, в нём как раз и есть ситуация "код модифицированной библиотеки"), но его тоже слегка стремаются, на всякий случай. У openssl, впрочем, лицензия bsd-подобная, которую коммерческие адвокаты вполне одобряют.

vombatenok December 24 2013, 12:11:14 UTC

Жена викария сразу вызвала улыбку узнавания :)))
Жду продолжения! :)

dwarkin December 24 2013, 12:31:21 UTC

:)

Тут на самом деле момент такой - если по человечески обьяснять, а не только "для своих", то надо и частотный анализ, и "пляшущих человечеков", а потом уже можно и жену викария. Вот и пытаюсь - не слишком длинно, и с минимумом занудства.

vombatenok December 25 2013, 11:21:07 UTC

вполне получается! :)