Gepubliceerd: Woensdag 20 mei 2009
Onderzoekers openbaren een fout in het SSH-protocol waarmee data in verzonden pakketjes gelezen kunnen worden, zonder sleutel.
Toon volledig artikel
The OpenSSH team has been made aware of an attack against the SSH
protocol version 2 by researchers at the University of London.
Unfortunately, due to the report lacking any detailed technical
description of the attack and CPNI's unwillingness to share necessary
information, we are unable to properly assess its impact.
Dat lijkt me niet onbelangrijk om erbij te melden. Laat je AES in CTR-modus werken (de default sinds kort), dan is er helemaal niets aan de hand. Zie hier.
Maar die kans is wel heel erg klein: 1 op de 262,144. Dat is nog steeds aanzieneijk, aldus de ontdekkers, want applicaties voor VPN hebben de neiging om in korte tijd heel vaak een nieuwe verbinding te leggen met de server
Iedere keer dat ik een dobbelsteen rol bestaat er toch de kans van 1 op 6 dat ik een 6 rol en die kans wordt niet groter, hoe vaak ik de dobbelsteen ook rol.
Waarom zou de kans op plaintext terugkrijgen groter worden als ik vaker een verbinding maak?
Dat lijkt me kansberekening van het laagste niveau. Als ik meerdere keren met een dobbelsteen rol, dan is de kans dat ik minimaal 1x een 6 rol natuurlijk altijd groter.
Als ik meer loten koop in de loterij is de kans dat ik win ook groter... (Of het is wel een hele speciale loterij.)
De kans op plaintext wordt niet groter, alleen de verwachte hoeveelheid plaintext.
En over de loterij: als je 100 staatsloten koopt, is de kans op de jackpot niet heel veel groter dan als je er 1 koopt. Beide zijn in dezelfde orde van grootte als de kans dat je dodelijk door de bliksem getroffen wordt. Dus mocht je 'm winnen, dan moet je voortaan wel heel erg oppassen als het onweert :-P
Goh, OpenSSH versie 4.7? Ik zit hier nog steeds op een oude 3.x versie
van OpenSSH, wel met essentiele patches toegepast als backports. Ik ben
er van overtuigd dat juist dankzij OpenSSH, meer specifiek, OpenSSL, we
een hele hoop narigheid vanuit het Clinton tijdperk, zoals de export
restrictie op encryptie software, een personal agenda punt van Al Gore
toen, hebben ge-"bypassed". Dat is waar het hier om gaat.
AL-GORE-RITHM
http://www.softwar.net/gore.html
Maar ook dat een aantal vuist-regeltjes vanuit Open Source het mogelijk
maakt om geforceerde upgrades van essentiele software, een Microsoft
Taktiek, te voorkomen.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
