I problemi con CSPRNG di Windows sono ancora un problema su Windows moderno?

2

Il documento Crittoanalisi del generatore di numeri casuali del sistema operativo Windows descrive alcuni problemi aspetti di Windows CSPRNG. Tuttavia, il documento è stato scritto nel 2007 e ha esaminato la versione del generatore presente in Windows 2000. I problemi descritti sono ancora presenti in Windows più recente (7 o 8 per esempio)?

    
posta Alex Gaynor 31.03.2014 - 19:33
fonte

1 risposta

3

Dalla pagina di Wikipedia :

A 2007 paper from Hebrew University suggested security problems in the Windows 2000 implementation of CryptGenRandom (assuming the attacker has control of the machine). Microsoft later acknowledged that the same problems exist in Windows XP, but not in Vista. Microsoft released a fix for the bug with Windows XP Service Pack 3 in mid-2008.

Quindi la risposta sarebbe: no, i problemi descritti non sono più presenti nelle ultime versioni di Windows.

Per essere onesti, i suddetti problemi non erano critici all'inizio. Erano più indicativi di un design subottimale; potrebbero essere trasformati in veri e propri attacchi solo in situazioni in cui l'attaccante ha già un potere estensivo (può leggere lo spazio di memoria della vittima ...). Apparentemente, Microsoft ha cercato di discutere con gli autori dell'articolo (quindi dice ) ma alla fine si è ritirato, quando si sono resi conto che "aggiustare" il PRNG costava meno che discuterne, e il processo di ammettere-e-patch potrebbe anche essere dato uno spin positivo dal punto di vista delle Pubbliche Relazioni.

    
risposta data 31.03.2014 - 19:57
fonte

Leggi altre domande sui tag