Надёжность OpenVPN будет проверена в ходе аудита

09.12.2016 11:05

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, сообщил об успешном ходе сбора средств для оплаты проведения полного независимого аудита механизмов шифрования, применяемых в пакете OpenVPN (за две недели собрано 34 тысячи долларов из запланированных 71 тысячи). Начало работы намечено на январь 2017 года. Работа будет выполнена французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt и находится вне юрисдикции крупнейших спецслужб, заинтересованных в организации слежки.

Кроме того, стало известно об ещё одной инициативе проведения аудита OpenVPN, инициированной группой VPN-провайдеров. Проверка затронет ветку OpenVPN 2.4, которая пока находится на стадии тестирования кандидата в релизы. Координацией проведения аудита займётся Мэттью Грин (Matthew Green), инициатор аудита TrueCrypt, один из создателей Zerocoin и участник групп, обнаруживших уязвимости RSA BSafe, Dual_EC_DRBG, Speedpass и EZpass.

Попытки организации совместной работы группы VPN-провайдеров и OSTIF пока не увенчались успехом. Аудит OSTIF подразумевает организацию закрытого взаимодействия между авторами и проверяющими, для предотвращения досрочных утечек сведений о выявленных в процессе аудита проблемах и оперативного исправления ошибок по мере их выявления. Со своей стороны, группа VPN-провайдеров заверила пользователей, что вначале результаты проверки будут направлены разработчикам OpenVPN, и только после исправления выявленных ошибок, отчёт о выполненном аудите будет представлен публично. Кроме того, вопросы вызывает ангажированность проверяющих - ожидается что аудит от группы VPN-провайдеров будет выполнен специалистами NCC Group Cryptography Services, в то время как некоторые разработчики OpenVPN работают в компании FoxIT, которая является подразделением NCC Group.

исправить +25 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45646-openvpn

Ключевые слова: openvpn, audit

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (33)

1.1, Аноним (-), 11:37, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Аудил L2TP и IPSec уже проводили? Как оно?

2.2, Andrew (??), 11:56, 09/12/2016 [^] [^^] [^^^] [ответить]	+3 +/–
"Чистый" L2TP - дырка, такая же, как и PPTP (вектор и стоимость атаки- идентичные). Про IPsec написано уже овердофига исследований, есть известные... скажем так, недоработки, но "правильно приготовленный" IPsec пока выглядит надежным. L2TP/IPsec, теоретически, должен быть настолько же надежным (или насколько же дырявым), как и "чистый" IPsec.

3.24, йцукен (??), 16:04, 09/12/2016 [^] [^^] [^^^] [ответить]

+1 +/–

> "правильно приготовленный" IPsec пока выглядит надежным

Стоит отметить, что IPsec с PSK трудно отнести к надёжным. Только сертификаты.

Кроме того, если вам не требуется именно L2 туннель, то L2TP нафиг не нужен, достаточно голого IPsec, благо современные ОС это давно умеют.

4.37, Аноним (-), 14:57, 10/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Уметь-то умеют, вот только ipsec без vti - это боль

2.39, Аноним (-), 01:25, 12/12/2016 [^] [^^] [^^^] [ответить]	+/–
> Аудил L2TP и IPSec уже проводили? Как оно? Никак. Первое никогда и не позиционировалось как что-то надежное, второе слишком сложное и муторное чтобы иметь какой либо смысл вообще. Это означает что лажа случится еще на этапе конфигурации. Примерно как с SSL/TLS.

1.4, A (?), 12:09, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Как будто французу невозможно сделать предложение, от которого он не сможет отказаться, пока он на конференции в Сан-Франциско себя тяпкой в грудь бьет.

2.5, 1 (??), 12:21, 09/12/2016 [^] [^^] [^^^] [ответить]	–2 +/–
Француза придется покупать, а своему можно приказать

3.8, Меломан1 (?), 12:45, 09/12/2016 [^] [^^] [^^^] [ответить]	–7 +/–
Разве в России принуждают использовать шпионское ПО? Сейчас можно загреметь на всю катушку за это. Должен сказать, что поддерживаю инициативы правительства по поддержке ИТ, но их не хватает, очевидно. Если бы правительство договорилось с Fujitsu о переносе части производств в Россию, SPARC процессоры и системные платы, ну и др. нау-хау.

4.10, Andrey Mitrofanov (?), 12:57, 09/12/2016 [^] [^^] [^^^] [ответить]	+9 +/–
>использовать шпионское ПО? Сейчас можно загреметь на всю катушку за это Посадки за Майкросоувт уже были, я пропустил?!

4.13, Аноним (-), 13:47, 09/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Дались вам эти SPARCи. Пусть лучше с TSMC договариваются о переносе части производства, чтом Эльбрусы, Байкалы и КОМДИВы-64 выпекать.

5.15, Меломан1 (?), 14:20, 09/12/2016 [^] [^^] [^^^] [ответить]

–1 +/–

> Дались вам эти SPARCи. Пусть лучше с TSMC договариваются о переносе части
> производства, чтом Эльбрусы, Байкалы и КОМДИВы-64 выпекать.

Не возможно. 90% серверных мощностей мирового бизнеса задействовано на этой архитектуре.
8% - Это IBM, но до него никому нет дела, как и ему до всего мира.

6.36, cmp (ok), 14:19, 10/12/2016 [^] [^^] [^^^] [ответить]	+/–
90%? вау, а где? у нас 2 последних спарка переехали на помойку пару лет назад, щас все на виртуализации, ит рубят целыми подразделениями.

6.41, Аноним (-), 01:29, 12/12/2016 [^] [^^] [^^^] [ответить]	+/–
> 90% серверных мощностей мирового бизнеса задействовано на этой архитектуре. ...столица переезжает в Нью-Васюки.

4.40, Аноним (-), 01:27, 12/12/2016 [^] [^^] [^^^] [ответить]	+1 +/–
> Fujitsu о переносе части производств в Россию, SPARC процессоры и системные > платы, ну и др. нау-хау. В духе этого правительства было бы запретить ввоз в РФ процессоров и обязать покупать эльбрусы за тридцатник. А в чем эта "поддержка IT" заключается, кстати?

1.6, Аноним (-), 12:30, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Как будто у лягушатников нет своих КГБ.

1.7, manster (ok), 12:34, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Если исходить из статистики количества уязвимостей и дыр на проект, то явно такие проекты как adobe flash (хоть и не открытый), openssl, всякие библиотеки для xml, регулярок и другие, нуждаются в независимом аудите в первую очередь.

1.19, Аноним (-), 14:44, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

Интересно - ГОСТ-овскую сборку проверяли? Не думаю, что французы чего найдут...
Открытый используем.

СКЗИ "МагПро КриптоПакет" в. 2.1 в комплектации "МагПро OpenVPN-ГОСТ"
http://www.cryptocom.ru/products/openvpn.html
выдан на СКЗИ «МагПро КриптоПакет» версии 2.1 по классам КС1 и КС2.

2.22, manster (ok), 15:23, 09/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Надо. Причем в обязательном порядке, публично и независимо, иначе получается что-то близкое к security by obscurity и ставит под сомнения всю целесообразность и эффективность вместе со всеми сертификациями ...

2.33, Аноним (-), 22:42, 09/12/2016 [^] [^^] [^^^] [ответить]	+/–
OpenVPN идет под лицензией GPLv2. Что-то я на их сайте не увидел модифицированных исходников. Сперли код и стригут бабло.

3.34, Elhana (ok), 01:11, 10/12/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Купите, должны дать исходники вместе с покупкой. А на сайте они выкладывать не обязаны.

4.35, Аноним (-), 12:14, 10/12/2016 [^] [^^] [^^^] [ответить]	+/–
На сайте можно скачать демо-версию, в которой есть только бинарники. Так что тут явное нарущение GPL.

2.42, Аноним (-), 01:30, 12/12/2016 [^] [^^] [^^^] [ответить]	+/–
> СКЗИ "МагПро КриптоПакет" в. 2.1 в комплектации "МагПро OpenVPN-ГОСТ" Одно только название этого пакета намекает что его использование для, собственно, защиты информации - заявка на залет.

1.20, Анонимум (?), 14:59, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
А чего его аудитить-то? Если верить кулхацкерам из соседней темы, то он расшифровывается в МИТМе на ура.

2.23, Аноним (-), 15:51, 09/12/2016 [^] [^^] [^^^] [ответить]	+4 +/–
А кулхацкеры твои диванные - они кто?

3.28, Andrey Mitrofanov (?), 16:52, 09/12/2016 [^] [^^] [^^^] [ответить]	+2 +/–
> А кулхацкеры твои диванные - они кто? Такие же, как оно само, флудорасы, истончённые до полного истирания иронизаторы, вруны-болтуны и записные форумные криптографы. Да, и вообще, мы замечательные общечеловеки, вот, сами убедитесь: https://www.opennet.ru/openforum/vsluhforumID3/109852.html#45

2.43, Аноним (-), 01:33, 12/12/2016 [^] [^^] [^^^] [ответить]	+/–
> расшифровывается в МИТМе на ура. В дефолтной конфиге зачастую так и есть. Если mitm может стать клиентом - у него есть клиентский серт, подписанный той же CA. Прикол в том что без дополнительной подсказки в конфиге - openvpn тип серта не проверяет. И любой клиент может в два счета сделать именно это самое. Лечится, НО это ж надо в наворотах SSL/TLS и openvpn разбираться. Сколько человек так умеет - ну ты понял.

1.31, VPN Power (?), 19:41, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]

+7 +/–

Вот вам ништяки - наслаждайтесь.

https://shadowsocks.org/en/index.html

https://habrahabr.ru/post/208782/

https://www.softether.org/

https://www.opennet.ru/opennews/art.shtml?num=43633

1.32, Нанобот (ok), 19:55, 09/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ниочём. Вот как проверят, тогда и пишите новость.

1.38, Аноним (-), 00:20, 12/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Не нравится мне эта новость, вспомните, чем в итоге закончилась проверка Truecrypt-a.

1.44, лютый жабист___ (?), 08:37, 12/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Одноразовые шифрблокноты никто не победит. 8) Интересно, почему нет во всех дистрибах такого софта?

2.45, лютый жабист___ (?), 08:39, 12/12/2016 [^] [^^] [^^^] [ответить]	+/–
Т.е. максимально деревянный туннель, ты сам генеришь энтропию на source, на дискетке, обернутой фольгой везёшь на destination и вуаля!

3.47, Аноним (-), 17:40, 10/03/2017 [^] [^^] [^^^] [ответить]	+/–
несколько гигов одноразовых блокнотов пожатых архиватором хватит для защищенного месседжера на всю жизнь. Но почему то этой функцией не пользуется ни кто.

1.46, Аноним (-), 17:38, 10/03/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, чем дело кончилось?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: