2008/5/14 Alexandre Franke <<a href="mailto:alexandre.franke@gmail.com" target="_blank">alexandre.franke@gmail.com</a>>:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
2008/5/14 Jerome Pansanel <<a href="mailto:j.pansanel@pansanel.net" target="_blank">j.pansanel@pansanel.net</a>>:<br>
<div>> Une alerte a été publiée sur le site de Debian concernant les clés générées<br>
> avec OpenSSL. En effet, suite à un problème dans la génération de nombres<br>
> aléatoires, les clés créées depuis 2006 comportent une faille de sécurité<br>
> jugée critique.<br>
<br>
</div>Pour être plus précis, il s'agit d'une faille introduite par un patch<br>
debian (qui avait pour but d'enlever une erreur sous Valgrind, un<br>
profileur) et les clés défaillantes ne sont donc que celles générées<br>
sur un système debian ou dérivé. Toutefois si une telle clé est sur un<br>
autre système, elle peut le mettre en danger.<br>
</blockquote><div><br>Ce que je ne comprends pas par contre, c'est pourquoi la suppression de l'erreur sous valgrind entraîne tous ces pbs. <br><br>Naïvement, j'avais pensé qu'il suffisait de lire dans /dev/[u]random pour générer de l'entropie, plutôt que de se baser sur l'état plus ou moins initialisé de la mémoire ?<br>
Et comme lire depuis un fichier, ça initialise tout de même de façon déterministe (enfin, du point de vue du processus), valgrind ne devrait pas râler.<br><br></div></div>-- <br>Steve Schnepp <<a href="mailto:steve.schnepp@pwkf.org" target="_blank">steve.schnepp@pwkf.org</a>><br>
<a href="http://snide.free.fr/" target="_blank">http://snide.free.fr/</a>