V
Согласен, классика, но не в менеджерах паролей же! Все ведь помнят уязвимость в протоколе WPS, найденную в 2014 году, под названием Pixie Dust? В Realtek SDK для генерации случайных чисел E-S1, E-S2 (они участвуют в обмене сообщениями протокола WPS) используются
Я понимаю, что китайцам из Realtek (один из производителей самых дешёвых полупроводниковых устройств, на их чипах создают, как правило, самые доступные Wi-Fi роутеры и другое сетевое оборудование) это вполне простительно, но компании Kaspersky, которая специализируется на информационной безопасности, простительно ли это? Как можно объяснить то, что они не использовали Microsoft CryptoAPI для получения криптостойких случайных чисел, когда о том, что не следует использовать обычные PRNG для криптографии, говорится в документации к стандартной библиотеке практически любого языка программирования?
Я не могу доверять проприетарным менеджерам паролей более, а этот случай расцениваю как успешную попытку встраивания закладок в ПО компании Kaspersky.
srand(current_timestamp); rand() из стандартной библиотеки Си (uClibc).Я понимаю, что китайцам из Realtek (один из производителей самых дешёвых полупроводниковых устройств, на их чипах создают, как правило, самые доступные Wi-Fi роутеры и другое сетевое оборудование) это вполне простительно, но компании Kaspersky, которая специализируется на информационной безопасности, простительно ли это? Как можно объяснить то, что они не использовали Microsoft CryptoAPI для получения криптостойких случайных чисел, когда о том, что не следует использовать обычные PRNG для криптографии, говорится в документации к стандартной библиотеке практически любого языка программирования?
Я не могу доверять проприетарным менеджерам паролей более, а этот случай расцениваю как успешную попытку встраивания закладок в ПО компании Kaspersky.