こんにちは

今日はちょっとセキュリティなお話。

OpenSSLというのはIT系の人なら結構聞いたことがあると思うんですが、脆弱性が発表されてます。

結構ヤヴァイ感じです。

超簡単にいうと、(多分この理解で合ってると思うけど)

(1)SSLでは、その通信のKeepAliveを司るHeartBeatという関数がいる
(2)そいつはユーザーから指定された長さ分だけ、その関数を動かしているユーザー領域のメモリ上の情報を返す
(3)なので、この「ユーザー」さんが100MB分ね!とか指定した場合、結構なデータが返される
(4)もしその100MB分のメモリの中に、たまたま、本来絶対漏洩してはマズい秘密鍵が載っていたら、簡単に発見される
(5)あとは、そのサーバーにくるパケットをキャプチャーして秘密鍵で複合すれば全く秘密が守られない。  <-ここが一番マズい

という話のようです。なので
(6)まずパッチ適用をASAPで!
(7)鍵は既に盗まれたと思って、過去の鍵を使えなくして、新規で鍵作りなおせ
というのが対応として推奨されているそうです。

とはいえ、各国の国防系IT組織なんかはいつかどこかで誰かが漏洩するかもしれない秘密鍵をゲットしたら、いつでも復号化出来るようにするため、重要そうな色んなサーバーのパケットを数年間とかいう単位で保管し続けているとかいないとか。
なので、今回の発表があったら嬉々としてあちこち嗅ぎまわって鍵ゲットしてるんじゃないでしょうか。

これじゃあOpen系のSSLじゃなくて、ただのOpenなSSLですね。(苦

参考はこちら

http://lewuathe.com/blog/2014/04/08/opensslfalsecui-ruo-xing-wodu-nta/