martin paljak

Hull lugu:
Debiani insenerid suutsid pekki keerata enda OpenSSL-i paki nii, et pea kõik genereeritud tarkvaralised võtmed OpenSSL (ja seega ka OpenSSH) puhul on lihtsasti arvutatavad ja tuleb välja vahetada. Administraatoritele tükk tööd. Lähemalt kirjutab slashdot.

Kuid edasi:
Internetis surfides võib leida dokumendi, kus räägitakse Eesti e-valimiste hingeelust ja tõsiasjast, et see on ehitatud “stabiilse&turvalise” Debiani peale. Kui nüüd natuke fantaseerida ja eeldada, et e-valimiste süsteem, mis on ehitatud Debiani peale, kasutas aastal 2007 enda mingiks toiminguks OpenSSL-i juhuarvude generaatorit, siis …. aiai ühesõnaga

Tegelikult aga olukord e-valimistega tõenäoliselt nii hull ei ole. Spetsiifilise e-valimiste tarkvara jaoks kasutati küllap “käsitsi” kompileeritud OpenSSL-i (kui üldse) ning sellise tasemega lahenduse puhul on kõik olulised võtmed riistvara sees peidus ja seal ka genereeritud (sealhulgas ka ID-kaardi võtmed) ja seega väljaspool ohtu. Aga mõni keskerakondlik leheneeger või muidu ignorantne väljamaa uudisegeneraator saaks siin kõvasti FUD-i genereerida ja päris meedias suure pasunaga selle postituse pealkirja kasutada.

Ise kavatsen otseloomulikult ka järgmisel aastal e-valida, nagu ka kahel eelneval korral. Soovitan Sul, kallis lugeja, mitte alluda tagurlaste provokatsioonile ja teha ise sama!