替代者暂时没有做到更好,LibreSSL的伪随机生成器不安全
OpenSSL分支LibreSSL portable刚刚发布了第一个版本2.0.0(已更新到2.0.1),虽然版本号是2.0.0,但它只是一个预览版,不应该用于生产环境。
测试已经发现,LibreSSL的伪随机生成器(PRNG)存在安全漏洞,安全性不如它fork的OpenSSL PRNG:OpenSSL PRNG的两次不同调用返回不同的结果,而LibreSSL PRNG的两次不同调用返回的却是相同结果,它检测fork()函数创建父进程克隆的机制存在安全漏洞。
相关推荐
不羈 2010-11-08
mingmingini 2012-01-04
zhuzhu侠 2012-07-09
wangzhaotongalex 2013-05-20
gstc0 2018-10-31
qwerdf00 2017-03-17