Ho appreso la teoria dei protocolli SSL / TLS e quanto sono efficaci per ottenere una comunicazione sicura tra client e server.
Tutte le implementazioni OpenSSL, PolarSSL, MatrixSSL e Mozilla NSS utilizzano la stessa teoria sottostante di SSL e TLS? In tal caso, vuol dire che il bug di Heartbleed cambierebbe il livello di promessa verso SSL / TLS?
Se osservi il riepilogo di Heartbleed:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Hai chiesto:
Does it mean that Heartbleed bug would change the degree of promise toward SSL/TLS ?
No, non lo è. Puoi vedere che è specificamente su openssl. Heartbleed era un bug del software, un errore di programmazione. Non era un punto debole nel protocollo SSL / TLS stesso, come ad esempio CRIME o BEAST . La lezione importante che abbiamo imparato da Heartbleed è che il codice dovrebbe essere rivisto prima del suo utilizzo. La perdita di memoria in OpenSSL era significativa, ma gli errori di programmazione esistono e saranno disponibili in futuro. Tutto ciò che possiamo fare è eseguire revisioni periodiche del codice e semplificare / pulire il codice (OpenSSL è un po 'un disastro).
Le altre librerie (in realtà qualsiasi pezzo di software per quella materia) avrebbe potuto facilmente averne una, la principale minaccia qui è l'errore umano, che a volte è difficile da mitigare.
SSL / TLS sono protocolli.
OpenSSL è un'implementazione di questi protocolli. Ha due librerie: libcrypto che implementa un set di algoritmi di crittografia e libssl che implementa i protocolli TLS e il relativo SSL precedente.
Se c'è un errore nell'implementazione di un determinato protocollo, è not che il problema è il protocollo stesso. HeartBleed è solo un problema ereditato da OpenSSL ma non esiste in altre implementazioni TLS / SSL come LibreSSL , GnuTLS , MatrixSSL e molti altri .
HeartBleed è il risultato di un'implementazione errata. HeartBleed è stato introdotto per la prima volta da Stephen Henson solo un'ora prima del 2011 di Capodanno. Per essere più precisi è Robin Seggelmann, che era allora un dottorato di ricerca. studente dell'Università Duisburg-Essen che ha sviluppato l'estensione HeartBeat per OpenSSL (HeartBeat era già presente nelle specifiche SSL2.0) e lo ha suggerito al progetto di sviluppo di piombo OpenSSL Stephen Henson che ha fallito (ha mai controllato?) di trovare il bug e sul suo repository. Altri suggeriscono che questa vulnerabilità fosse conosciuta e sfruttata molto tempo fa prima di essere annunciata pubblicamente.
Stephen Henson è sempre stato l'unico sviluppatore permanente di OpenSSL. C'è stato solo un revisore dei pari che lo ha aiutato, ma non in modo permanente. Tutti gli altri 11 membri del progetto OpenSSL non hanno nulla a che fare con lo sviluppo correttamente detto. Come puoi immaginare, qualunque sia lo sviluppo di uno sviluppatore, è incline agli errori finché si sviluppa da solo.
Leggi altre domande sui tag cryptography openssl tls heartbleed