DRBG Validation List - Liens en vrac de sebsauvage
lundi 23 septembre 2013 à 10:45 Sebsauvage, le 21/09/2013 à 22:10
Bwwwaaaaa.... C'est pire que je pensais.
Ceci est la liste d'entreprises utilisant l'algo foireux recommandé par la NSA (cf. http://sebsauvage.net/links/?1YZ3Nw).
On y retrouve Cisco, Apple, Motorola, Toshiba, McAfee, Juniper, HP-UX, IBM, Oracle, Symantec, SAP, Intel, Microsoft, CheckPoint, Thales, RedHat, R.I.M., ZTE, Avaya, WindRiver... et OpenSSL.
Il y en a dans tous les domaines: des firewalls aux VPN en passant par les systèmes médicaux ou la VOIP.
Ça fait froid dans le dos, et il est difficile d'évaluer la quantité de produits réellement touchés: Ils ne listent ici que les libs propriétaires incluant la techno de RSA en question, non les produits les utilisant, ni si cet algo est actif dans la config par défaut.
(Permalink)
Bronco, le 22/09/2013 à 08:07
Bon, alors là ça va devenir difficile à éviter... Saloperie de gouvernement américain (de merde).
Une fois tous les logiciels verrouillés pour des raisons de 'sécurité nationale' et de 'lutte anti terroriste', n'importe qui pourra espionner tout le monde et en tirer les stats qu'il veut et les informations qu'il souhaite en toute impunité...
Nous allons tous nous réveiller trop tard, la tête sous la botte de nos dirigeants, dépouillés de tous nos droits d'expression et de liberté... Les droits constitutionnels ne pèsent pas lourd dans la balance face au patriot act.
(Permalink)
Famille Michon, le 23/09/2013 à 10:45
C'est inquiétant... un algorithme de génération de nombres aléatoires validé par le NIST dispose en fait d'une backdoor pour la NSA, et est utilisé par de nombreuses entreprises.
Je ne sais pas s'il est possible de choisir l'algo utilisable dans les connexions sur TLS ou pas... je dois vérifier cela dans mes certificats, serveurs et clients.
Algo à éviter totalement : Dual EC DRBG.
(Permalink)
Bwwwaaaaa.... C'est pire que je pensais.
Ceci est la liste d'entreprises utilisant l'algo foireux recommandé par la NSA (cf. http://sebsauvage.net/links/?1YZ3Nw).
On y retrouve Cisco, Apple, Motorola, Toshiba, McAfee, Juniper, HP-UX, IBM, Oracle, Symantec, SAP, Intel, Microsoft, CheckPoint, Thales, RedHat, R.I.M., ZTE, Avaya, WindRiver... et OpenSSL.
Il y en a dans tous les domaines: des firewalls aux VPN en passant par les systèmes médicaux ou la VOIP.
Ça fait froid dans le dos, et il est difficile d'évaluer la quantité de produits réellement touchés: Ils ne listent ici que les libs propriétaires incluant la techno de RSA en question, non les produits les utilisant, ni si cet algo est actif dans la config par défaut.
(Permalink)
Bronco, le 22/09/2013 à 08:07
Bon, alors là ça va devenir difficile à éviter... Saloperie de gouvernement américain (de merde).
Une fois tous les logiciels verrouillés pour des raisons de 'sécurité nationale' et de 'lutte anti terroriste', n'importe qui pourra espionner tout le monde et en tirer les stats qu'il veut et les informations qu'il souhaite en toute impunité...
Nous allons tous nous réveiller trop tard, la tête sous la botte de nos dirigeants, dépouillés de tous nos droits d'expression et de liberté... Les droits constitutionnels ne pèsent pas lourd dans la balance face au patriot act.
(Permalink)
Famille Michon, le 23/09/2013 à 10:45
C'est inquiétant... un algorithme de génération de nombres aléatoires validé par le NIST dispose en fait d'une backdoor pour la NSA, et est utilisé par de nombreuses entreprises.
Je ne sais pas s'il est possible de choisir l'algo utilisable dans les connexions sur TLS ou pas... je dois vérifier cela dans mes certificats, serveurs et clients.
Algo à éviter totalement : Dual EC DRBG.
(Permalink)