<html><head></head><body>Just a thought ... what does this mean for the security of the dirauth's?<br>
<br>
Should we also consider them compromised, and rekey them, and update the default builds?<br><br><div class="gmail_quote">On April 12, 2014 12:08:06 PM CEST, Julien ROBIN <julien.robin28@free.fr> wrote:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre class="k9mail">It was sooooooooo much previsible :)<br /><br />Few days ago the bug was published, few years ago it was already there, and this kind of stuff totally matches with NSA's - and other state security agencies's - full-time work. <br /><br />So in fact there is no more usefull precipitation since Apr 7, but there is also No Way they haven't already found our keys, for a long time already.<br /><br />May be after most part of the network have been updated (and most of the keys changed ?) it would be usefull to "kick out" of the network every compromised relays ?<br /><br />As I'm better in understanding/avoiding bad habbits, than in using hacking techniques, I'm unable to know if computers that are hosting Tor Relays could have been entirely compromised : without anymore knowledge I decided to completely reinstall them. Do you think this is usefull ?<br /><br /><br />We cannot deny that this kind of "well-kept secrets" aren't usefull for the world in some conditions
(I'm thinking about terrorist threats), but as for lot of similar subject, how many crap things have been done by these these "all powerful governments" by playing with such a security flaw... <br /><br />So I'm curious about what will happen now that we (are may be thinking that we) remove that opportunity they had in their hands.<br /><br />At my side, waiting for what will happen now, I have completely erased and reinstalled my servers starting from 0, new passwords... let's hope that attention I have for avoiding bad habbits on my personnal computer are enough - for me and for others Tor relays Operators !<br /><br /><br />Best regards<br />Julien ROBIN<br /><br /><br /><br /><br />----- Mail original -----<br />De: "Jesse Victors" <jvictors@jessevictors.com><br />À: tor-relays@lists.torproject.org<br />Envoyé: Samedi 12 Avril 2014 02:32:07<br />Objet: [tor-relays] NSA knew about Heartbleed<br /><br /><br />-----BEGIN PGP SIGNED MESSAGE-----<br />Hash: SHA512<br /><br
/><br />Saw this article:<br /><a href="http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html">http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html</a><br /><br />"The U.S. National Security Agency knew for at least two years about a<br />flaw in the way that many websites send sensitive information, now<br />dubbed the Heartbleed bug, and regularly used it to gather critical<br />intelligence, two people familiar with the matter said. The NSA said in<br />response to a Bloomberg News article that it wasn?t aware of Heartbleed<br />until the vulnerability was made public by a private security report.<br />The agency?s reported decision to keep the bug secret in pursuit of<br />national security interests threatens to renew the rancorous debate over<br />the role of the government?s top computer experts."<br /><br />Thanks NSA, glad you've got our backs there.<br /><br />If you run a
relay and you have been on one of the affected versions of<br />OpenSSL, I would urge you to STRONGLY CONSIDER your relay compromised.<br />Delete your keys per the recommendations and let Tor generate new ones.<br />It's better to cripple the network temporarily while we come back from<br />this, rather than preserving the uptime with possibly compromised keys.<br />Security matters here. Please follow the best practice recommendations.<br />If you run a web server, rekey your SSL certificates. Basically, if you<br />were affected, consider encryption to have been bypassed and passwords<br />and other sensitive information compromised. We cannot afford to take<br />chances here. If the NSA knew it, you can also bet that someone else<br />with a good static analyzer discovered it as well, I'll let you imagine one.<br /><br />Good luck out there everyone, we really need to revoke our keys if we<br />were affected. Seriously, guys. It's worth it.<br /><br />On a lighter note, <a
href="https://xkcd.com/1354">https://xkcd.com/1354</a>/<br /><br />Stay safe. Live long and prosper.<br />Jesse V.<br /><br />-----BEGIN PGP SIGNATURE-----<br />Version: GnuPG v1.4.14 (GNU/Linux)<br />Comment: Using GnuPG with Thunderbird - <a href="http://www.enigmail.net">http://www.enigmail.net</a>/<br /><br />iQF8BAEBCgBmBQJTSImHXxSAAAAAAC4AKGlzc3Vlci1mcHJAbm90YXRpb25zLm9w<br />ZW5wZ3AuZmlmdGhob3JzZW1hbi5uZXQxMjgyMjhENjEyODQ1OTU1NzBCMjgwRkFB<br />RDk3MzY0RkMyMEJFQzgwAAoJEK2XNk/CC+yA0nIIAKj1lOXRGcwMFd39CxjnymSN<br />FVzrPUa/JomCJHqW/A0xSFdxbVAZIvio6C1phuWHmiiDKhsBuBGwLNzXQMGFltaw<br />BnaTO1lLCvvSbEdmXPg12hR3YqR1d5D7Xnb0iTlSfrjZ7gGDEsXoJG3pU/V/RCFo<br />IOEqxfZtVcI3DdrImlwcR6gPw6ip9JlTo49w8ncy6/K4cHED2liCQ13JvWjaQzSl<br />uB06eWNsNo1IhPCKkZ7gFzharhN/4kAQrytC+ZcTmIrXdPrsd1lUaVICHWK9AEon<br />sciDu5lI77srXWwt77YVAKw6Jrls41N3USgvKBSrxZhfBVQlCPOmoXtTHdwbhks=<br />=pmBQ<br />-----END PGP SIGNATURE-----<br /><br /><hr /><br />tor-relays mailing list<br
/>tor-relays@lists.torproject.org<br /><a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br /><hr /><br />tor-relays mailing list<br />tor-relays@lists.torproject.org<br /><a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br /></pre></blockquote></div><br>
-- <br>
Sent from my Android device with K-9 Mail. Please excuse my brevity.</body></html>