
<div dir="ltr">The NSA was taking advantage of bugs in openSSL for two years, yet nobody noticed it until now.  So it is indeed possible, as we have just seen it happen.<div><br></div><div>Who knows what other bugs are out there.<div>

<br></div><div>Open Source is by definition safer for us, but only when the system works.  In this case, it failed us.</div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 20 April 2014 19:28, unsolicited <span dir="ltr"><<a href="mailto:unsolicited@swiz.ca" target="_blank">unsolicited@swiz.ca</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The very nature of Open Source is such that that is not possible.<br>

<br>

The source is free to see, use, modify, whatever.<br>

<br>

And people do.<br>

<br>

As I understand it, that is how Heartbleed was discovered - by code review.<br>

<br>

If any such back door were present, the community would refuse to use it. The very act of putting in any such back door would thus be self-defeating - nobody would use it, there would be no door, back or otherwise, to enter.<br>


<br>

People compile from source.<br>

<br>

Source is retrieved from trusted repositories.<br>

<br>

Repositories have gpg keys, things are checksummed.<br>

<br>

You may upgrade with binaries, but those binaries have come from trusted repositories.<br>

<br>

Each combination has their own binary. Or they build their own from trusted source, themselves.<br>

<br>

Thus, many instances of running software around the world are simultaneously and independently run, many of which are independently compiled and built from the same source.<br>

<br>

Depending upon the app, someone sticking something in in one place, will either be immediately rejected, or rendered neuter by nothing compatible with it. i.e. Send a request (for back door entry) would be denied because nothing understands the request, or try to use an algorithm that lets you derive a back door and it would be denied because nobody would send you a key with this algorithm they do not themselves have.<br>


<br>

All of this web of trust is quite probably the single biggest advantage (if the least understood by those new to computers) of non-proprietary systems. When you update through your repository, you KNOW it's good code. Not to say stuff doesn't creep in, or at least try to. But any reasonably reputable repository, once such is identified to them, shuts it down pretty damn quick.<br>


<br>

OpenSSL, for example, is paid attention to really rather diligently. The world depends upon it, so anything threatening it gets immediate attention. (Even if it takes a while to trickle down to the end user.)<br>

<br>

<br>

On 14-04-20 01:59 PM, CrankyOldBugger wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

I would have to wonder, that if the NSA has some sort of back door or trick<br>

to crack openSSL at 1024 bits, then they would probably have the same<br>

backdoor or trick for 2048 or more bits.  Just a thought, I'm certainly not<br>

trying to put down the idea of using encryption!<br>

<br>

<br>

<br>

On 20 April 2014 13:50, Jonathan Poole <<a href="mailto:jpoole@digitaljedi.ca" target="_blank">jpoole@digitaljedi.ca</a>> wrote:<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Oh and of course, ensure you’re using an openssl version not affected, or<br>

patched.<br>

<br>

On Apr 20, 2014, at 1:47 PM, Jonathan Poole <<a href="mailto:jpoole@digitaljedi.ca" target="_blank">jpoole@digitaljedi.ca</a>> wrote:<br>

<br>

How paranoid do you want to be?<br>

<br>

At least 4096 IMHO, Computers are faster/stronger/ these days, higher bits<br>

shouldn’t generate too much load decrypting.<br>

<br>

if you want, generate a new cert everyday if you want.<br>

<br>

*openssl genrsa -out ca.key 4096*<br>

<br>

*openssl req -new -x509 -days 180 -key ca.key -out ca.crt*<br>

On Apr 20, 2014, at 1:12 PM, Khalid Baheyeldin <<a href="mailto:kb@2bits.com" target="_blank">kb@2bits.com</a>> wrote:<br>

<br>

Needless to say that recent events and government actions warrants more<br>

paranoia ...<br>

<br>

So, to that effect, what options should one use to have the SSH keys<br>

stronger?<br>

How many bits? What options for ssh key gen should be used?<br>

<br>

And for SSL certificates, what options do you use to make the certificates<br>

as strong as they can be?<br>

For example, I use the following script for self signed certificates. How<br>

can this be improved?<br>

<br>

#!/bin/sh<br>

<br>

KEY=server.key<br>

REQ=server.csr<br>

CRT=server.crt<br>

<br>

cd ~/cert<br>

# Generate a key<br>

openssl genpkey -algorithm rsa -out $KEY<br>

# Generate a certificate signing request<br>

openssl req -new -sha1 -nodes -key $KEY -out $REQ<br>

# Create a self signed certificate<br>

openssl x509 -req -days 365 -in $REQ -signkey $KEY -out $CRT<br>

# Copy it to the server<br>

cp $CRT /etc/ssl/certs<br>

cp $KEY /etc/ssl/private<br>

<br>

<br>

--<br>

Khalid M. Baheyeldin<br>

<br>

<br>

</blockquote>

<br>

<br>

<br>

______________________________<u></u>_________________<br>

kwlug-disc mailing list<br>

<a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>

<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/<u></u>listinfo/kwlug-disc_kwlug.org</a><br>

<br>

</blockquote>

<br>

<br>

______________________________<u></u>_________________<br>

kwlug-disc mailing list<br>

<a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>

<a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" target="_blank">http://kwlug.org/mailman/<u></u>listinfo/kwlug-disc_kwlug.org</a><br>

</blockquote></div><br></div>