Taggat med: AES-NI

Ny version av OpenSSL åtgärdar allvarliga brister

OpenSSLOpenSSL åtgärdade nyligen sex stycken identifierade sårbarheter. De två allvarligaste bristerna var minneskorruption i ASN.1-avkodaren samt en som möjliggör padding-attacker mot AES-NI CBC MAC.

Att hantera ASN.1 från okända källor är något som är otroligt svårt och komplext och därmed finns en hög sannolikhet för sårbarheter. För just denna allvarliga bugg är resultatet av två andra icke allvarliga buggar.

Samtliga åtgärdade sårbarheter med CVE

  • Memory corruption in the ASN.1 encoder (CVE-2016-2108)
  • Padding oracle in AES-NI CBC MAC check (CVE-2016-2107)
  • EVP_EncodeUpdate overflow (CVE-2016-2105)
  • EVP_EncryptUpdate overflow (CVE-2016-2106)
  • ASN.1 BIO excessive memory allocation (CVE-2016-2109)
  • EBCDIC overread (CVE-2016-2176)

Uppgradera till följande versioner:

  • OpenSSL 1.0.2h  för 1.0.2 användare
  • OpenSSL 1.0.1t  för 1.0.1 användare

Och som vanligt finns mer information att hitta på openssl.org

Även så har det nyligen uppdagats att nyckelderiveringen för kommandot openssl enc enbart består av en runda md5. Detta är otroligt svagt och därför bör openssl undvikas när det gäller kryptering av filer, och det gäller inte enbart openssl enc utan även liknande kommandon såsom openssl aes-256-cbc -a, läs mer här:

https://cryptosense.com/weak-key-derivation-in-openssl/

TrueCrypts prestanda

Via HackerNews så får vi reda på att Toms Hardware har genomfört tester på TrueCrypts prestanda. Samt hur mycket det hjälper med Intels nya instruktioner i processorn för AES-beräkningar (AES-NI).

For simple encryption, the performance gain attributable to AES-NI is not that large compared to standard non-accelerated AES encryption. However, the CPU load drops significantly when the feature is active, giving the computer more power reserves and enabling even higher levels of security if necessary. AES-NI-compatible systems allow for more flexibility when setting up the encryption, and can handle a double encryption without any noticeable performance hit.

Här kan du läsa sammanfattningen av testet.