パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

FBI、OpenBSDのIPSEC開発者に金銭を送りバックドアを仕込んでいた?」記事へのコメント

  • Damien Miller 氏によれば、暗号そのものは恐らく安全であろう、とのことです。
    http://permalink.gmane.org/gmane.os.openbsd.tech/22559 [gmane.org]

    何かを仕込むとすればネットワーク関連のコードで、
    鍵データがパディングに混入するようにしたり、
    秘密データに隣接する部分を読むとき「うっかりはみ出す」ようにしたり、
    mbuf を「うっかり再利用する」ようにしたり、
    タイミング攻撃によるサイドチャネル (2000年当時はあまり知られていなかった) を用意したり
    といった可能性が思いつく、と書いています。

    そのうちの幾つかは対策が取られていますが、
    すべて疑念を晴らすには地道なコード監査以外ないようです。

    • by Anonymous Coward
      >すべて疑念を晴らすには地道なコード監査以外ない
      これって、OS全体のソースの量的規模が大きすぎてチェックする人的資源のほうが届かないため、指摘されない限りは不正なコードを仕込み放題ってことなんですかね?せっかくのオープンソースも、ホンネとしては機能していないってことでしょうか。
      • 大丈夫でしょう (スコア:1, 参考になる)

        by Anonymous Coward
        (セキュリティを調査する目的で)試しにanonymousでそういうコードをcommitしてみたことがあるけど、すぐに削除されました。 ある程度のメジャーどころは、パートごとに主要開発者いてコードを子供のようにかわいがっていますから、怪しいコードがcommitされてきたら一発でrejectでしょうね。
        • by Anonymous Coward on 2010年12月16日 6時49分 (#1874630)

          > 試しにanonymousでそういうコードをcommitしてみたことがあるけど、

          そもそも OpenBSD はそういう形態じゃありません。
          Theo が認めた人間にしか commit 権限はありません。

          > パートごとに主要開発者いてコードを子供のようにかわいがっていますから、怪しいコードがcommitされてきたら一発でrejectでしょうね。

          今回のは、開発者自らが怪しいコードを commit したという話ですが。

          親コメント
          • by Anonymous Coward

            >> 試しにanonymousでそういうコードをcommitしてみたことがあるけど、
            > そもそも OpenBSD はそういう形態じゃありません。
            というかanonymousでもソースをコミットできるってどんなOSSプロジェクト? ど素人がウィキペディアか何かからの類推か何かで大ボラこいてるとしか思えないんですが。
            これにプラスモデがつくんだからスラドからはつくづく開発者がいなくなったもんだと思いますね。

            • by Anonymous Coward
              用語も知らずに send-pr とか bug tracking system の類いで レポートか何かを送ったとかを「(自称)commit」と言っているだけでしょう

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...