<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Update.<div><br></div><div>Botan-1.10.8 built with gcc-4.8.2: ./check runs fine, no errors.</div><div><br></div><div>Botan-1.11.9 built with gcc-4.8.2 - “./botan-test” on my system immediately crashes with Signal 11. GDB says it’s in system::err::what(). Probably because all the libraries (including boost) are build with clang, and C++ is insanely sensitive to what compiler the library was built with.</div><div><br></div><div><br><div><div>On Apr 11, 2014, at 0:35 , Uri Blumenthal <<a href="mailto:uri@MIT.EDU">uri@MIT.EDU</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><meta http-equiv="Content-Type" content="text/html charset=windows-1252"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><div>Both packages built with clang-3.4 on Mac OS X v10.9.2.</div><div><br></div><div>Botan-1.10.8 built with </div><div><div style="margin: 0px; font-size: 14px; font-family: Menlo; color: rgb(41, 249, 20); background-color: rgb(0, 0, 0); position: static; z-index: auto;">python configure.py --with-boost --with-zlib --with-bzip2 --with-gnump --with-openssl --with-boost-python --with-python-version=2.6 --prefix=/opt/local --enable-modules=cvc,cms --cc=clang --enable-sse2 --enable-ssse3 --enable-aes-ni --with-tr1=boost</div></div><div>"./check —test” fails. See the attached check-1.10.8.out.</div><div><br></div><div>Botan-1.11.9 built with</div><div><span style="background-color: rgb(0, 0, 0); color: rgb(41, 249, 20); font-family: Menlo; font-size: 14px;">python configure.py --with-boost --with-sqlite3 --with-zlib --with-bzip2 --with-lzma --with-gnump --with-openssl --with-boost-python --with-python-version=2.6 --prefix=/opt/local --enable-modules=cvc --cc=clang --enable-sse2 --enable-ssse3 --enable-aes-ni</span> </div><div><div style="margin: 0px; font-size: 14px; font-family: Menlo; color: rgb(41, 249, 20); background-color: rgb(0, 0, 0);">./botan cpuid</div><div style="margin: 0px; font-size: 14px; font-family: Menlo; color: rgb(41, 249, 20); background-color: rgb(0, 0, 0); position: static; z-index: auto;">CPUID flags: sse2 ssse3 sse41 sse42 avx2 rdtsc bmi2 clmul aes_ni rdrand</div></div><div>“./botan-test" fails. See the attached botan-1.11.9.out.</div><div><br></div><div>It would be nice if these problems could be explained and a fix suggested.</div><div><br></div><div>Thanks!</div><div><br></div><div></div></div><span><botan-test-1.11.9.out></span><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><meta http-equiv="Content-Type" content="text/html charset=us-ascii"><div></div></div><span><check-1.10.8.out></span><meta http-equiv="Content-Type" content="text/html charset=us-ascii"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><div></div><br><div><div>On Apr 10, 2014, at 20:10 , Jack Lloyd <<a href="mailto:lloyd@randombit.net">lloyd@randombit.net</a>> wrote:</div><blockquote type="cite">I've released new versions of Botan (1.10.8 and 1.11.9) fixing a serious bug in<br>prime testing. A change in version 1.8.3 resulted in Miller-Rabin primality<br>tests being done with a single random base rather than a sequence of such<br>bases. Miller-Rabin is a probabilistic algorithm where the rate of failure<br>(classifying a non-prime as prime) decreases as iterations increase, so having<br>a single test is more or less the worst case scenario.<br><br>What are the actual effects of this bug? There are two major cases: generating<br>a new RSA key (or DSA or DH parameters), and testing an untrusted DH group<br>provided by a third party (for instance during TLS DHE key exchange, where the<br>server hands the client an arbitrary DH group). RSA generation should be safe;<br>a proof (in <a href="http://www.math.dartmouth.edu/~carlp/PDF/paper88.pdf">http://www.math.dartmouth.edu/~carlp/PDF/paper88.pdf</a>) shows that<br>for *randomly* chosen n the probability of a false accept is quite low and and<br>decreases rapidly as the size of the number increases, for instance with<br>randomly chosen 600 bit numbers even a single test should fail no more often<br>than 2^-75. In addition newly generated RSA keys are automatically checked for<br>consistency (including checking the primes, meaning a second Miller-Rabin<br>test), so in the event that a key was created with a non-prime factor, the self<br>test would with high probability fail and the constructor would throw an<br>exception.<br><br>The case of DH parameter verification is rather bleaker, as obviously the value<br>is chosen by the attacker, so about the best we can hope for is the base 3-in-4<br>detection rate of Miller-Rabin: that is, 75% of the time we would detect this<br>invalid prime, and 25% of the time we would not, and accept a composite as<br>prime.<br><br>I would like to thank Jeff Marrison for finding and reporting this issue.<br><br>The only other change in 1.10.8 is a modification for HMAC, which now accepts<br>keys as large as 512 bytes. This is primarily so PBKDF2 can accept very long<br>passphrases.<br><br>1.11.9 has some changes to PKIX path validation; when validating we return a<br>set of all the errors with the most severe error being provided as the primary<br>result. This prevents a seemingly innocuous error (such as an expired<br>certificate) from hiding an obviously serious error (such as an invalid<br>signature). A bug that prevented OCSP from working with some common responders<br>was also fixed. And implementations of HMAC_DRBG and the RFC 6979 deterministic<br>nonce generator were added.<br><br>As always download links are at <a href="http://botan.randombit.net/download.html">http://botan.randombit.net/download.html</a><br><br>My apologies on the mess. From the events of this week it appears I'm at least<br>in good company.<br><br>Jack<br>_______________________________________________<br>botan-devel mailing list<br><a href="mailto:botan-devel@randombit.net">botan-devel@randombit.net</a><br><a href="http://lists.randombit.net/mailman/listinfo/botan-devel">http://lists.randombit.net/mailman/listinfo/botan-devel</a><br></blockquote></div><br></div>_______________________________________________<br>botan-devel mailing list<br><a href="mailto:botan-devel@randombit.net">botan-devel@randombit.net</a><br>http://lists.randombit.net/mailman/listinfo/botan-devel<br></blockquote></div><br></div></body></html>