2008/5/14 Alexandre Franke &lt;<a href="mailto:alexandre.franke@gmail.com" target="_blank">alexandre.franke@gmail.com</a>&gt;:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

2008/5/14 Jerome Pansanel &lt;<a href="mailto:j.pansanel@pansanel.net" target="_blank">j.pansanel@pansanel.net</a>&gt;:<br>
<div>&gt; Une alerte a été publiée sur le site de Debian concernant les clés générées<br>
&gt; avec OpenSSL. En effet, suite à un problème dans la génération de nombres<br>
&gt; aléatoires, les clés créées depuis 2006 comportent une faille de sécurité<br>
&gt; jugée critique.<br>
<br>
</div>Pour être plus précis, il s&#39;agit d&#39;une faille introduite par un patch<br>
debian (qui avait pour but d&#39;enlever une erreur sous Valgrind, un<br>
profileur) et les clés défaillantes ne sont donc que celles générées<br>
sur un système debian ou dérivé. Toutefois si une telle clé est sur un<br>
autre système, elle peut le mettre en danger.<br>
</blockquote><div><br>Ce que je ne comprends pas par contre, c&#39;est pourquoi la suppression de l&#39;erreur sous valgrind entraîne tous ces pbs. <br><br>Naïvement, j&#39;avais pensé qu&#39;il suffisait de lire dans /dev/[u]random pour générer de l&#39;entropie, plutôt que de se baser sur l&#39;état plus ou moins initialisé de la mémoire ?<br>
Et comme lire depuis un fichier, ça initialise tout de même de façon déterministe (enfin, du point de vue du processus), valgrind ne devrait pas râler.<br><br></div></div>-- <br>Steve Schnepp &lt;<a href="mailto:steve.schnepp@pwkf.org" target="_blank">steve.schnepp@pwkf.org</a>&gt;<br>

<a href="http://snide.free.fr/" target="_blank">http://snide.free.fr/</a>