パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

FBI、OpenBSDのIPSEC開発者に金銭を送りバックドアを仕込んでいた?」記事へのコメント

  • Damien Miller 氏によれば、暗号そのものは恐らく安全であろう、とのことです。
    http://permalink.gmane.org/gmane.os.openbsd.tech/22559 [gmane.org]

    何かを仕込むとすればネットワーク関連のコードで、
    鍵データがパディングに混入するようにしたり、
    秘密データに隣接する部分を読むとき「うっかりはみ出す」ようにしたり、
    mbuf を「うっかり再利用する」ようにしたり、
    タイミング攻撃によるサイドチャネル (2000年当時はあまり知られていなかった) を用意したり
    といった可能性が思いつく、と書いています。

    そのうちの幾つかは対策が取られていますが、
    すべて疑念を晴らすには地道なコード監査以外ないようです。

    • by Anonymous Coward

      フレームの元だけどこのバックドアも含めてソースが配布されていたのだろうからオープンソースならコード監査が出来るから安全なんて神話だよね。

      • by Anonymous Coward on 2010年12月15日 20時20分 (#1874392)

        本家UNIXにケン・トンプソンが仕込んだバックドアも結局十数年後に本人が公表するまで誰も気付かなかったですしねえ。
        現代のオープンの基準からすると目の数は少なかったとは思いますが。

        親コメント
        • by Anonymous Coward

          "Trusting trust" の話なら、あれは「ソースコードをいくら眺めても発見不可能なバックドアを作れる」っていう話ですよね。
          目の数の多寡という問題ではなく、コード監査だけじゃどっちにせよダメだよね、っていうことではないかと。

物事のやり方は一つではない -- Perlな人

処理中...