アカウント名:
パスワード:
Damien Miller 氏によれば、暗号そのものは恐らく安全であろう、とのことです。http://permalink.gmane.org/gmane.os.openbsd.tech/22559 [gmane.org]
何かを仕込むとすればネットワーク関連のコードで、鍵データがパディングに混入するようにしたり、秘密データに隣接する部分を読むとき「うっかりはみ出す」ようにしたり、mbuf を「うっかり再利用する」ようにしたり、タイミング攻撃によるサイドチャネル (2000年当時はあまり知られていなかった) を用意したりといった可能性が思いつく、と書いています。
そのうちの幾つかは対策が取られていますが、すべて疑念を晴らすには地道なコード監査以外ないようです。
フレームの元だけどこのバックドアも含めてソースが配布されていたのだろうからオープンソースならコード監査が出来るから安全なんて神話だよね。
本家UNIXにケン・トンプソンが仕込んだバックドアも結局十数年後に本人が公表するまで誰も気付かなかったですしねえ。現代のオープンの基準からすると目の数は少なかったとは思いますが。
"Trusting trust" の話なら、あれは「ソースコードをいくら眺めても発見不可能なバックドアを作れる」っていう話ですよね。目の数の多寡という問題ではなく、コード監査だけじゃどっちにせよダメだよね、っていうことではないかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
バックドアの余地は (スコア:5, 参考になる)
Damien Miller 氏によれば、暗号そのものは恐らく安全であろう、とのことです。
http://permalink.gmane.org/gmane.os.openbsd.tech/22559 [gmane.org]
何かを仕込むとすればネットワーク関連のコードで、
鍵データがパディングに混入するようにしたり、
秘密データに隣接する部分を読むとき「うっかりはみ出す」ようにしたり、
mbuf を「うっかり再利用する」ようにしたり、
タイミング攻撃によるサイドチャネル (2000年当時はあまり知られていなかった) を用意したり
といった可能性が思いつく、と書いています。
そのうちの幾つかは対策が取られていますが、
すべて疑念を晴らすには地道なコード監査以外ないようです。
Re: (スコア:0)
フレームの元だけどこのバックドアも含めてソースが配布されていたのだろうからオープンソースならコード監査が出来るから安全なんて神話だよね。
Re:バックドアの余地は (スコア:2, 興味深い)
本家UNIXにケン・トンプソンが仕込んだバックドアも結局十数年後に本人が公表するまで誰も気付かなかったですしねえ。
現代のオープンの基準からすると目の数は少なかったとは思いますが。
Re: (スコア:0)
"Trusting trust" の話なら、あれは「ソースコードをいくら眺めても発見不可能なバックドアを作れる」っていう話ですよね。
目の数の多寡という問題ではなく、コード監査だけじゃどっちにせよダメだよね、っていうことではないかと。