1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: GnuTLS setzt…

Broken by design?

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Broken by design?

    Autor: Marsu42 09.06.20 - 11:05

    Haat schon jemand die Frage gestellt (oder Antwort gegeben), wie der bug zwischen 3.6.4 und 3.6.14 im 2018-09-18 commit zustande gekommen war?

    Ich sehe an dem Tag commits von zwei Personen, und es ist im cve nicht genau angegeben was der bug war (ich bin zu kurz im Forum, daher Links 'obfuscated')

    https:||gitlab|com|gnutls|gnutls|-|commit|master
    https:||cve|mitre|org|cgi-bin|cvename.cgi?name=CVE-2020-13777
    https:||gitlab|com|gnutls|gnutls|-|issues|1011

    Es gab ja schon ähnliche Szenarien bei anderen crypto oss libs, bei denen vermutet wurde dass der*die Autor*in des commits ein paar Goldbarren von der NSA bekommen hat :->

    Ich tippe, der bug ist zu krass und von jedem ausnutzbar, d.h. nicht etwas, was jemand absichtlich einbauen würde.

    Vertrauensbildend ist so ein bug über 1,5 Jahre auf jeden Fall nicht - und zeigt wieder das auch-OpenSSL-Problem, dass bei so komplexen und gleichzeitig verbreiteten cryptolibs offenbar keiner mehr durchblickt.



    1 mal bearbeitet, zuletzt am 09.06.20 11:11 durch Marsu42.

  2. Re: Broken by design?

    Autor: garthako 09.06.20 - 11:09

    Marsu42 schrieb:
    --------------------------------------------------------------------------------
    > H|at schon jemand die Frage gestellt (oder Antwort gegeben), wie der bug
    > zwischen 3.6.4 und 3.6.14 im 2018-09-18 commit zustande gekommen war?
    >
    > Ich sehe an dem Tag commits von zwei Personen, und es ist im cve nicht
    > genau angegeben was der bug war (ich bin zu kurz im Forum, daher Links
    > 'obfuscated')
    >
    > https:||gitlab|com|gnutls|gnutls|-|commit|master
    > https:||cve|mitre|org|cgi-bin|cvename.cgi?name=CVE-2020-13777
    > https:||gitlab|com|gnutls|gnutls|-|issues|1011
    >
    > Es gab ja schon ähnliche Szenarien bei anderen crypto oss libs, bei denen
    > vermutet wurde dass der*die Autor*in des commits ein paar Goldbarren von
    > der NSA bekommen hat. Vertrauensbildend ist so ein bug über 1,5 Jahre auf
    > jeden Fall nicht.

    Das wird es sein, die NSA hat ein weiteres OSS Mitglied durch Geld oder Druckmittel verdorben.
    Das, oder jemand hat seine Variablen nicht sauber initialisiert, wer kann das schon so genau wissen...

  3. Re: Broken by design?

    Autor: Marsu42 09.06.20 - 11:14

    Hmja, ich hatte gerade meinen op editiert dahingehend, und dann erst Deine Antwort gesehen.

    Dann ist die Frage, ob das "broken by design" nicht mit Absicht passiert ist, sondern diese crypto-libs einfach zu komplex sind und die Entwicklung zu wenig robust, um sie auf produktiv-Systeme loszulassen.

  4. Re: Broken by design?

    Autor: garthako 09.06.20 - 11:59

    Marsu42 schrieb:
    --------------------------------------------------------------------------------
    > Hmja, ich hatte gerade meinen op editiert dahingehend, und dann erst Deine
    > Antwort gesehen.
    >
    > Dann ist die Frage, ob das "broken by design" nicht mit Absicht passiert
    > ist, sondern diese crypto-libs einfach zu komplex sind und die Entwicklung
    > zu wenig robust, um sie auf produktiv-Systeme loszulassen.

    Crypto ist schwer, und Programmieren auch. Ich will da pauschal keine Bösartigkeit unterstellen, sowas rutscht durch, gerade in dem Fall klingt es ja danach, dass da kein Fehler fliegt, sondern einfach immer mit dem gleichen Wert (in dem Fall eben null) gearbeitet wird. Wenn Dein Testfall nicht genau das abdeckt, dann funktioniert das Programm ja augenscheinlich.

    Grundsätzlich sind die cryptolibs am Markt nicht sonderlich toll, bei Fefe finden sich da ja regelmäßige Rants.

  5. Re: Broken by design?

    Autor: Thargon 09.06.20 - 13:57

    > Vertrauensbildend ist so ein bug über 1,5 Jahre auf jeden Fall nicht - und
    > zeigt wieder das auch-OpenSSL-Problem, dass bei so komplexen und
    > gleichzeitig verbreiteten cryptolibs offenbar keiner mehr durchblickt.

    Was ist denn die Alternative? Simplere Verschlüsselungsverfahren, die leichter zu knacken sind? Proprietäre Software, die niemand einsehen kann, sodass solche Fehler meist viel länger unentdeckt bleiben? Hardwareimplementierungen, die typischerweise auch proprietär sind und bei denen Fehler nicht einfach durch ein Update behoben werden können?

    Wer behauptet, seine technische Umsetzung (jedweder Art) sei fehlerfrei, verhindert entweder, dass das durch dritte überprüft werden könnte (proprietäre Lösungen), oder spricht von einer rein fiktiven Lösung. Das einzige, was man den Entwicklern in Fällen wie diesem vorwerfen kann, ist dass die Tests nicht gut genug waren. Solange Menschen Dinge bauen, werden diese Dinge Fehler haben.

  6. Re: Broken by design?

    Autor: Marsu42 09.06.20 - 21:27

    Thargon schrieb:
    --------------------------------------------------------------------------------
    > > Vertrauensbildend ist so ein bug über 1,5 Jahre auf jeden Fall nicht -
    > und
    > > zeigt wieder das auch-OpenSSL-Problem, dass bei so komplexen und
    > > gleichzeitig verbreiteten cryptolibs offenbar keiner mehr durchblickt.
    >
    > Was ist denn die Alternative? Simplere Verschlüsselungsverfahren, die
    > leichter zu knacken sind? Proprietäre Software, die niemand einsehen kann,
    > sodass solche Fehler meist viel länger unentdeckt bleiben?
    > Hardwareimplementierungen, die typischerweise auch proprietär sind und bei
    > denen Fehler nicht einfach durch ein Update behoben werden können?
    >
    > Wer behauptet, seine technische Umsetzung (jedweder Art) sei fehlerfrei,
    > verhindert entweder, dass das durch dritte überprüft werden könnte
    > (proprietäre Lösungen), oder spricht von einer rein fiktiven Lösung. Das
    > einzige, was man den Entwicklern in Fällen wie diesem vorwerfen kann, ist
    > dass die Tests nicht gut genug waren. Solange Menschen Dinge bauen, werden
    > diese Dinge Fehler haben.

    - LibreSSL hat sich aus demselben Grund von OpenSSL abgespalten (wird aber afaik nicht genutzt, weil OpenSSL zwischenzeitlich Geld für bugfixing bekommen hat)

    - Daniel Bernstein macht aus demselben Grund seit Ewigkeiten sein eigenes Ding, und jetzt wurden seine crypto/hash-Ideen Standard

    - bzgl. GnuTLS: dass solche 'mission critical' libs nicht massive öffentliche Unterstützung bekommen für bugfixing ist das Problem, und offenbar müssen die Zyklen länger werden von neuer Standard bis Nutzung in live Systemen. Das "rolling release", was bei vielen apps super ist, funktioniert offenbar bei diesen backbone libs so nicht.

    => Wenn GnuTLS bzw. die Nutzer der lib so weiter machen, ohne aus 1,5 Jahre "Datenverkehr kann entschlüsselt werden" Konsequenzen bzgl. der Entwicklung zu ziehen, dann wäre für mich durchaus das Vertrauen beschädigt, ähnlich wie es bei OpenSSL Heartbleed etc der Fall war.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Viega Holding GmbH & Co. KG, Attendorn
  2. Continental AG, Hannover
  3. über duerenhoff GmbH, Raum Wuppertal
  4. Modis GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 1.656,19€ (Bestpreis!)
  2. (aktuell u. a. WD Blue SN550 NVMe 1 TB für 112,10€, Crucial MX500 1TB SSD für 98,45€, Seagate...
  3. (u. a. Deal des Tages: Honor MagicBook 15 15,6 Zoll Full-HD-IPS Ryzen 5 für 548,53€, Asus ROG...
  4. (u. a. be quiet! Dark Rock Pro TR4 CPU-Kühler für 62,90€, be quiet! Dark Base Pro 900 rev.2 Big...


Haben wir etwas übersehen?

E-Mail an news@golem.de