CryptoCat написан бездарным программистом и представляет опасность

Специалист по информационной безопасности Стив Томас (Steve Thomas) опубликовал критический обзор программы для «защищенных» чатов» Cryptocat. Эту программу и раньше упрекали в ненадежности, но сейчас Томас буквально разложил все по полочкам и даже написал свою утилиту DecryptoCat для взлома ECC-ключей Cryptocat версий от 1.1.147 до 2.0.41.

Томас проанализировал все версии Cryptocat за последние несколько лет, в которых постоянно менялись алгоритмы и методы шифрования. По его мнению, если вы пользовались программой c 17 октября 2011 года по 15 июня 2013 года, то ваши сообщения почти наверняка скомпрометированы. В июне Томас сообщил о результатах своей работы, так что 15 июня вышла новая версия Cryptocat 2.0.42, которую пока можно считать безопасной, если доверять ее автору в будущем.

Стив Томас считает, что программу Cryptocat разрабатывают «люди, которые не знают криптографию, делают глупые ошибки, а код программы недостаточно тщательно изучают на предмет багов». На протяжении своей небольшой истории программа Cryptocat пробовала разные алгоритмы генерации ключей: BPKDF2, RSA, Diffie-Hellman и ECC, а авторы явно не понимают, какой должна быть минимальная длина ключа. На протяжении 347 дней в программе был баг генерации ECC-ключей. Похоже, они даже путаются в понятиях байтов, битов и десятичных чисел.

Собственно, баг с генерацией аномальной коротких ECC-ключей был связан именно с тем, что разработчики передавали строку десятичных цифр в целочисленный массив. Таким образом, каждый якобы «15-битный» элемент массива на самом деле заполнялся десятичной цифрой (0-9).

Автор программы Cryptocat признал наличие уязвимости и призвал всех срочно обновиться до версии 2.0.42.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
11
pomodor

Фиг с ним, с этим CryptoCat. Все равно уважающие себя люди этим пользоваться брезговали. Мне интересно сколько такие пионеры своего говнокода в Linux закинули.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.