Специалист по информационной безопасности Стив Томас( steve thomas) опубликовал критический ликбез программы для " защищенных " чатов " cryptocat.
Эту программу и ранее корили в ненадежности, но в данный момент Томас практически разложил все по полочкам и даже написал свою утилиту decryptocat для взлома ecc-ключей cryptocat версий от 1. 1. 147 до 2. 0. 41. Томас проанализировал все версии cryptocat за последние несколько лет, в которых непрерывно изменялись методы и способы шифрования. По его понятию, если вы воспользовались программой c 17 октября 2011 года по 15 июня 2013 года, то ваши сообщения практически наверняка скомпрометированы.
В июне Томас сказал о результатах собственной работы, так что 15 июня вышла новенькая версия cryptocat 2. 0. 42, которую покуда можно считать безопасной, если доверять ее создателю в будущем. Стив Томас считает, что програмку cryptocat разрабатывают " люди, которые не знают криптографию, совершают глуповатые оплошности, а код программы недостаточно кропотливо изучают на объект багов ". На протяжении собственной небольшой летописи программа cryptocat пыталась различные методы генерации ключей: bpkdf2, rsa, diffie-hellman и ecc, а создатели очевидно не понимают, какой должна существовать минимальная длина ключа.
На протяжении 347 дней в программе был баг генерации ecc-ключей. Похоже, они даже путаются в мнениях байтов, битов и десятичных чисел. Собственно, баг с генерацией аномальной маленьких ecc-ключей был связан конкретно с тем, что создатели передавали строчку десятичных цифр в цельночисленный массив. Таким образом, любой якобы " 15-битный " элемент массива на самом деле наполнялся десятичной цифрой( 0-9). Автор программы cryptocat признал присутствие уязвимости и призвал всех безотлагательно обновиться до версии 2. 0. 42.
This program and earlier reproached in unreliability, but at present Thomas has practically classified all and even has written the utility decryptocat for breaking of ecc-keys cryptocat versions from 1. 1. 147 to 2. 0. 41. Thomas has analysed all versions cryptocat for the last years in which methods and ways of enciphering continuously changed. On its concept if you have used the program c on October, 17th, 2011 on June, 15th, 2013 your messages practically are for certain compromised. In June Thomas has told about results of own work so on June, 15th there was a brand new version cryptocat 2. 0. 42, as which while it is possible to consider safe if to trust its founder in the future.
Steve Thomas considers that програмку cryptocat people who do not know cryptography develop ", make silly oversights, and a program code insufficiently laboriously study on object of bugs". Throughout own small annals the program cryptocat tried various methods of generation of keys: bpkdf2, rsa, diffie-hellman and ecc, and founders obviously do not understand, what the minimum length of a key should exist. Throughout 347 days in the program there was a bug of generation of ecc-keys. It seems that they even are confused in opinions of bytes, bits and decimal numbers. Actually, the bug abnormal small ecc-keys has been connected with generation particularly by that founders transferred a line of decimal figures in цельночисленный a file.
Thus, any ostensibly "the 15-bit" element of a file actually was filled with decimal figure (0-9). The author of the program cryptocat recognised presence of vulnerability and has urged all to be updated urgently to version 2. 0. 42.
Не чего и пользоваться!!!?
ОтветитьУдалитьВо всем дело привычки, переходить на другие сервисы с привычных иногда не очень то и хочется.
ОтветитьУдалитьДействительно!?
ОтветитьУдалить