On 05.04.2013 17:26, Stachu 'Dozzie' K. wrote:
> On 2013-04-05, Michoo<m...@v...pl> wrote:
>
>> ale to wyglądało tak:
>> dodaj entropię z niezaincjalizowanego bufora B
>> wsadź entropię z /dev/random do B
>> przekształć dane w B
>> dodaj entropię z przekształconego B
>>
>> Na pierwszym krzyczał walgrind więc gość zapytał, czy może usunąć na co
>> usłyszał, ze tak. A potem usunął oba dodania zawartości B - i
>> niezainicjalizowanego i tego po przekształceniach.
>
> No właśnie nie. Usunął to, na czym krzyczał Valgrind, bo mu powiedziano


> So yes I think not using the uninitialized memory (it's only a single
> line, the other occurrence is already commented out) helps valgrind.


> "If it helps with debugging, I'm in favor of removing them". Usunął
> tyle, ile uznał, że mu pozwolono na openssl-dev. Trudno się
> nie-kryptologowi dziwić, że przeoczył całą ideę stojącą za tym kawałkiem
> kodu (za tą jedną linijką).

Pozwolono na wywalenie dodawania _niezainicjalizowanych_ danych.

>
> Ciężko powiedzieć, co konkretnie nawaliło: człowiek (i który, o ile
> można go obciążyć odpowiedzialnością), proces (sposób dyskusji
> z autorami OpenSSL) czy któraś ze strategii (obchodzenie się z patchami
> w Debianie, nie-kryptolog zajmujący się pakietem kryptograficznym).

Wszystko po trochu.


--
Pozdrawiam
Michoo