替代者暂时没有做到更好,LibreSSL的伪随机生成器不安全
时间:2014-07-16 21:19 来源:linux.it.net.cn 作者:IT网
OpenSSL分支LibreSSL portable刚刚发布了第一个版本2.0.0(已更新到2.0.1),虽然版本号是2.0.0,但它只是一个预览版,不应该用于生产环境。
测试已经发现,LibreSSL的伪随机生成器(PRNG)存在安全漏洞,安全性不如它fork的OpenSSL PRNG:OpenSSL PRNG的两次不同调用返回不同的结果,而LibreSSL PRNG的两次不同调用返回的却是相同结果,它检测fork()函数创建父进程克隆的机制存在安全漏洞。
(责任编辑:IT)
OpenSSL分支LibreSSL portable刚刚发布了第一个版本2.0.0(已更新到2.0.1),虽然版本号是2.0.0,但它只是一个预览版,不应该用于生产环境。 测试已经发现,LibreSSL的伪随机生成器(PRNG)存在安全漏洞,安全性不如它fork的OpenSSL PRNG:OpenSSL PRNG的两次不同调用返回不同的结果,而LibreSSL PRNG的两次不同调用返回的却是相同结果,它检测fork()函数创建父进程克隆的机制存在安全漏洞。
|