A Red Hat is?

Érdekes bugreportra találtam a Bugzillán.

Köszönhetően az NSA-nak, elkezdtem kutatni olyan kriptográfiai eljárások után, amelyeknek a legnagyobb esélyük van kivédeni az usákok állandó fülelését. Ezen nyomozás során jutottam el az Elliptic Curve (továbbiakban EC) eljáráshoz, amelyet aztán munkámban is hasznosítottam. Mivel erősen közeleg az az időpont, amikor felállítom saját webszerveremet, elkezdtem azután kutatni, hogyan tudom rábeszélni az Apache-ot, vagy az nginxet ezen kriptográfiai metódus használatára. A találatok között a figyelmemet felkeltő oldalon volt egy link erre a bizonyos bugreportra.

A bugreport ticket azért nyílt 2007-ben (!), mert egy felhasználó nem tudta használni az openssl csomag ec vagy ecparam parancsait Fedorában, miközben mindkét utasítás man oldala elérhető. A csomagba nézve azt találta, hogy a konfigurációban az EC lehetőségek ki vannak kapcsolva. Erre azt a rövid választ kapta, hogy lehetséges jogi problémák miatt alakult így. A ticketet akkor lezárták, 5 évvel később viszont újranyitották, mert egy Tribler fejlesztő szerint nem lehetnek jogi problémák az EC kripto alkalmazásával. Mivel érdemi válasz nem érkezett a felhasználók jogi oldallal kapcsolatos kérdéseire, egyikük felvetette, hogy bedobja a kérdést a Fedora Legal levelezőlistára, hátha előbb történik érdemi lépés.

A cég részéről 2012-től Tom Callaway vette fel a ticket fonalát és meglehetősen arrogáns és pökhendi módon kommunikált – látni fogjuk.
2013 januárjában valaki megpróbálta Fedora 18 alatt fordítani a csomagot, de az összes EC-s opcióra fordítási hibát kapott. Sem bizonyos sorok kommentelése a forrásban, sem a FIPS-opciók eltávolítása nem segített a dolgon, nem tudott működőképes, EC-kulcsok generálására alkalmas csomagot varázsolni a forrásanyagból. Érdekes fejlemény ez annak tükrében, hogy egy BitCoin fórumos bejegyzés alapján egy felhasználó sikeresen fordított az eredeti (nem a Fedora/Red Hat által biztosított)  forrásanyagból EC-képes openssl-t – 2012-ben! (A BitCoin úgy jön képbe, hogy kriptónak EC-t használnak, EC nélkül nincs BitCoin bányászat.)

Áprilisban Tom Callaway megpróbálta a Red Hat dolgát rátaksálni a közösségre. Olyan embert keresett, aki képes értelmezni az EC-kulcsok generálásának megvalósítását a forrásban és el tudja magyarázni az ügyvédeknek, miért vannak, vagy miért nincsenek jogi következmények. Ne feledjük, az eredeti bugreport idestova 6 éve nyílt, ennyi idő óta szarozik a Fedora/Red Hat ezzel az egyszerűen megoldható problémával. (Nem, nem a kriptográfiai eljárás bemutatása egyszerű, hanem a bugreport ticket megoldása, később kitérek rá.) Tom Callaway arra hivatkozik többször is, hogy a jogi probléma természete miatt nincs friss információ a reportban.
A felhasználók sokféle módon felajánlották segítségüket a probléma megoldásában, de egyiket sem tartotta elfogadhatónak Callaway, majd amikor a felhasználók türelmüket vesztették, kijelentette, hogy  túlreagálják a dolgot, végül azzal fenyegetőzött, hogy a bugreport WONTFIX státusszal lesz lezárva, ha folytatják a különböző segítségek linkelését, mert véleménye szerint egyik sem adja meg a megoldást.

A bugreport mind a mai napig NEW státuszban van, ami enyhén szólva is röhejes. Ha 6 év nem volt elegendő a javításhoz, akkor monnyonle…!

Idézet egy idei áprilisi bejegyzésből:

$ man ssh-keygen | grep ecdsa | wc -l
5
$ ssh-keygen -t ecdsa
unknown key type ecdsa

Nem hozzáértőknek lefordítom: az ssh-keygen man oldalán 5 olyan sor van, amelyben szerepel az “ecdsa” kifejezés, miközben ilyen típusú kulcsokat nem lehet generálni, mert “ismeretlen kulcstípus” hibaüzenetet kapunk. Tegnap megkérdeztem egy kollégámat, aki valamilyen Red Hat linuxot használ, miket kap a fenti sorokra – a hiba egy részét végre kijavították: az ssh-keygen man oldal már nem tartalmaz az EC-kulcsokra vonatkozó információt, de a man ec még mindig a rendszer része. Mindeközben a 17-es és 19-es Fedorában még mindig van információ a man oldalakon az ecdsa kulcsokról, noha generálni ilyen típusú kulcsokat továbbra sem lehet…

Nem biztos, hogy vörös az a kalap…

A 6.5-ös Red Hat disztribúcióban lévő ssh-keygen már képes ecdsa kulcsokat generálni, ellenben a rendszerben lévő Firefox böngésző nem kezeli az ilyen típusú kulcsokat, miközben az eredeti, módosítatlan Firefox és Chromium böngészők igen. Ez azt jelenti, hogy a Red Hat alapú rendszerekben nem lehet használni a jelenleg elérhető egyik legbiztonságosabb kriptográfiai eljárást webszerverekkel történő kommunikációra.

Térjünk vissza egy kicsit oda, hogy a Fedora/Red Hat jogi problémákra hivatkozik a linkelt bugreportban. Vajon tényleg arról van-e szó, hogy valakinek a birtokában vannak az EC-kulcsgenerálás szabadalmai és a cég nem akar licencdíj-perbe keveredni, vagy netán valami egész másról?

Én azt hiszem, egész másról lehet szó, hiszen szinte minden más Linux-disztribúcióban rendelkezésre áll az EC-kulcsok generálása. Ha valóban licencdíj-perről lenne szó, már rég szétperelték volna például a Canonicalt. A Red Hat 6.5-ös rendszerben megtalálható kulcsgenerálási lehetőségek FIPS-compliantek. A FIPS nem más, mint azok az információfeldolgozási szabványok, amelyeket az amerikai kormányzat dolgozott ki és amelyek használatára közvetetten kötelezi az amerikai IT cégeket. A kirobbant lehallgatási botrány során már kiszivárgott, hogy a különböző hárombetűs ügynökségeknek hozzáférésük van a nagy amerikai IT-multik rendszereihez. Noha eddig nem került ki erről információ, alig hiszem, hogy egy évente több, mint egymilliárd dolláros forgalmat bonyolító cég kimaradna az ügynökségek látóköréből. Azonban ha a bugreport nyitási idejét nézem, akkor erre sokkal korábban kerülhetett sor, mint arra bárki is számíthatott…

Figyelem! Mindez csak spekuláció, én lennék a legboldogabb, ha kiderülne, hogy a meglebegtetett lehetőségek hamisnak bizonyulnának, ugyanis a Red Hat fejlesztői igen sokat commitolnak a Linux kernelbe, miáltal nem csak a céghez köthető termékek, hanem minden Linux bejárható lehet az usákok számára…

Szólj hozzá

Avatar
QR-kód
qrcode
Archívum
Kategória
+GER+ Warriors
+GER+ Clan Urban Terror Community