[Linux] Faille dans les clés de chiffrage
Steve Schnepp
steve.schnepp@::1
Mer 14 Mai 11:44:04 CEST 2008
2008/5/14 Alexandre Franke <alexandre.franke@::1>:
> 2008/5/14 Jerome Pansanel <j.pansanel@::1>:
> > Une alerte a été publiée sur le site de Debian concernant les clés
> générées
> > avec OpenSSL. En effet, suite à un problème dans la génération de nombres
> > aléatoires, les clés créées depuis 2006 comportent une faille de sécurité
> > jugée critique.
>
> Pour être plus précis, il s'agit d'une faille introduite par un patch
> debian (qui avait pour but d'enlever une erreur sous Valgrind, un
> profileur) et les clés défaillantes ne sont donc que celles générées
> sur un système debian ou dérivé. Toutefois si une telle clé est sur un
> autre système, elle peut le mettre en danger.
>
Ce que je ne comprends pas par contre, c'est pourquoi la suppression de
l'erreur sous valgrind entraîne tous ces pbs.
Naïvement, j'avais pensé qu'il suffisait de lire dans /dev/[u]random pour
générer de l'entropie, plutôt que de se baser sur l'état plus ou moins
initialisé de la mémoire ?
Et comme lire depuis un fichier, ça initialise tout de même de façon
déterministe (enfin, du point de vue du processus), valgrind ne devrait pas
râler.
--
Steve Schnepp <steve.schnepp@::1>
http://snide.free.fr/
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: https://strasbourg.linuxfr.org/pipermail/linux/attachments/20080514/09815b60/attachment.htm
Plus d'informations sur la liste de diffusion linux