Articles précédents : Sécurité
- [99] Plusieurs machines-maîtres du projet Debian auraient été compromises
- [164] Microsoft prépare un "assaut de sécurité" public sur Linux
- [64] Correction d'un problème de sécurité sur TuxFamily
- [10] Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1
- [12] Le démon honeyd, utilisation des pot de miels contre les vers.
- [20] La suite Sentry de retour sous licence GPL/CPL
- [8] Un nouveau magazine chez votre libraire : hackin9
- [61] Le proxy d'accès à Google victime de son succès.
- [273] Le développeur principal d'xMule poursuivi en justice
- [14] Faille de sécurité pour les noyaux < 2.4.21
Sécurité : Un bug de GnuPG compromet plusieurs centaines de clés
Posté par Jar Jar Binks (page perso, ). Modéré le 27 novembre 2003.
Heureusement, seules les doubles clés utilisant ElGamal pour la signature et le chiffrement sont affectées, et leur nombre total est estimé à environ un millier.
![[en]](../../../images/en.png)
![[fr]](../../../images/fr.png)
> Lire la suite (32 commentaires, moyenne: 3,4). [dépêche : 662 caractères]
gpg --list-keys --with-colon | awk -F: '{if($4 == 20) print "gpg --list-keys 0x"$5}'|sh
Un exemple de clé affectée :
pub 1024D/xxxxxxxx 1998-10-12 Foo bar
sub 1024G/xxxxxxxx 1998-10-12 [expire: 2012-10-25]
Notez le G majuscule qui indique les doubles clés ElGamal de chiffrement/signature. Les clés marquées d'un D (DSA), d'un R (RSA) ou d'un g (ElGamal simple) ne sont pas compromises.
Si votre propre clé est compromise, vous devez immédiatement générer un certificat de révocation et l'envoyer sur les serveurs de clés.
Re: Un bug de GnuPG compromet plusieurs centaines de clés
On dira ce qu'on voudra (et on me moinssera sauvagement) mais je pense que pour un newbie comme moi il vaut mieux ne pas être parano que d'essayer de se servir correctement de GnuPG.
Le principe et complexe, l'utilisation est complexe....et les risques de conneries bien présents.
Je sais bien que ce sont les softs clients qui s'occupe de tout mais je sens que je vais encore faire des bétises tant que j'aurai pas vraiment compris l'architecture de ce truc.
-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par KaZeKaMi (page perso, ) le 27/11/2003 à 10:48. (lien). Évalué à 1.+1
je dois vraiment être idiot parce que j'ai eu beaucoup de mal même en suivant le tuto léa-linux, du coup je ne m'en sers pas...-
[+] [^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par arnaudus () le 27/11/2003 à 17:23. (lien). Évalué à -2.D'autant plus qu'il faut être un peu maso de la part de l'utilisateur lambda pour s'intéresser à ça... Si il suffisait de cocher une case dans les paramètres des lecteurs de mails pour que tout marche comme il faut, OK, mais passer 4 ou 5 heures dans le manuel pour crypter ses mails "salut Dédé, tu passes à quelle heure ce soir"...
J'y connais pas grand chose, mais pour la sécurité (Debian par ex), est-ce que ça n'est pas plus simple de bien blinder le serveur, en ajoutant plusieurs sécurités successives par exemple?-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par boklm (page perso, ) le 27/11/2003 à 18:49. (lien). Évalué à 7.J'y connais pas grand chose, mais pour la sécurité (Debian par ex), est-ce que ça n'est pas plus simple de bien blinder le serveur, en ajoutant plusieurs sécurités successives par exemple?
Effectivement tu n'y connais pas grand chose puisque ca n'a rien a voir, gpg ne sert pas a maintenir la securite d'un serveur. Quand tu envois un mail il transfere sur internet de facon non cryptee et les gens qui sont sur son chemin et les admins des serveurs mail ayant servis a l'envoi ou la reception peuvent le lire. N'importe qui peut egalement envoyer des messages en se faisant passer pour toi.
-
-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par maston28 (page perso, ) le 27/11/2003 à 18:06. (lien). Évalué à 3.j'ai actualisé un petit peu ce tuto cette semaine, si ca peut t'éclairer...
-
-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par Salagnac () le 27/11/2003 à 11:15. (lien). Évalué à 7.Et ce que tu dis est applicable à l'informatique en général... contrairement à ce qu'on voudrait nous faire croire.
Jusqu'où irez-vous ? http://www.filsdepub.com/tmmsn/msn02.html(...)
-
[+] [^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par Mickael_83 (page perso, ) le 27/11/2003 à 16:15. (lien). Évalué à -1.Complexe ? faut quand même pas abuser. Certes, ça se fait encore en mode texte, mais de là à dire que c'est complexe, y'a un pas. En plus, t'as un man bien fait, qui explique ce qu'il y a à faire, ça se résume en gros à 5 commandes maxi. Et même, pour l'interface utilisateur, voir thunderbird + enigmail, ça le fait super bien, comme ça y'aura que 2 boutons à cliquer et un peu de saisie. Alors, compliqué ? Si oui, c'est que c'est la console qui te fait peur, pas GnuPG
-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par ramzez () le 27/11/2003 à 16:31. (lien). Évalué à 5.moi j'avoue que la ligne de commande est plutot chiante : même quand on l'a réussi une fois, il faut encore la doc sous les yeux pour les coups suivants tellement c'est pas évident
mais j'ai trouvé un outil magnifique qui fait tout tout seul : kgpg (dans kde)
essaie ça et je suis sur que tu changeras d'avis :)-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par Bruno Muller (Jabber id, page perso, ) le 27/11/2003 à 16:36. (lien). Évalué à 5.Et pour gnome, il existe seahorse (qui s'intègre à nautilus) et evolution qui permettent d'utiliser gnupg très facilement également.
-
Re: Un bug de GnuPG compromet plusieurs centaines de clés
Nombre de clés estimé par le nombre sur les key-servers. or on ne charge pas toujours ses clés sur ces serveurs, notemment pour des usages internes.
Un bon principe est de donner des durées de vie courte à ses clés, 2 ans c'est vraiment le max.
Bon sinon le type de clé en question n'est pas de "base" (16/20), il faut le demander et accepter un warning...
Re: Un bug de GnuPG compromet plusieurs centaines de clés
un patch vient de sortir sur Gnupg 1.2.3
http://lists.gnupg.org/pipermail/gnupg-announce/2003q4/000277.html(...)
donc apparement c'est la fin du chiffrement avec Elgamal ? au lieu de corriger le bug on empeche de signer/chiffrer avec une cle Elgamal.
GPG: 0x58DA381D
-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par TSelek () le 27/11/2003 à 11:08. (lien). Évalué à 12.Note that the standard keys as generated by GnuPG (DSA and ElGamal encryption) as well as RSA keys are NOT vulnerable. Note also that ElGamal signing keys cannot be generated without the use of a special flag to enable hidden options and even then overriding a warning message about this key type.
donc la réponse est : non.
le patch empeche "using the ElGamal sign+encrypt (type 20)" pas le type 16 (encryption seule)
-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par Christophe Merlet (page perso, ) le 27/11/2003 à 11:22. (lien). Évalué à 9.> au lieu de corriger le bug on empeche de signer/chiffrer avec une cle Elgamal.
L'avantage de ce genre de patch, c'est que meme en faisant du reverse engineering dessus, on risque pas de trouver facilement comment exploiter la faille...-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par Nicolas Évrard (Jabber id, page perso, ) le 27/11/2003 à 12:15. (lien). Évalué à 2.
L'avantage de ce genre de patch, c'est que meme en faisant du reverse engineering dessus, on risque pas de trouver facilement comment exploiter la faille...
Mais son désavantage c'est que c'est de la sécurité au travers de l'obscurité. Ce n'est vraiment pas la meilleure façon de faire !
Mais bon, je suppose qu'à terme il compte quand même revoir le code incriminé, laissons leur le temps.--
Le scheme c'est bien.-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par Mickaël L () le 27/11/2003 à 12:36. (lien). Évalué à 11.Rien à voir avec la sécurité par l'obscurité. La sécurité par l'obscurité, c'est quand on cache le fonctionnement interne du programme en espérant que personne ne regardera de trop près.
Ici, on a un "protocole" qui est clairement désigné comme mauvais depuis longtemps (l'auteur du mail affirme avoir déconseillé son utilisation avant) : l'utilisation de la même clé ElGamal pour signer et chiffrer.
On est mis devant un grave bug qui concerne cette utilisation. On décide d'interdire cette utilisation.
En gros c'est plutôt
mauvais protocole, changer protocole.
Et rien n'est caché.
-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par boklm (page perso, ) le 27/11/2003 à 18:53. (lien). Évalué à 4.Mais son désavantage c'est que c'est de la sécurité au travers de l'obscurité. Ce n'est vraiment pas la meilleure façon de faire !
Mais bon, je suppose qu'à terme il compte quand même revoir le code incriminé, laissons leur le temps.
Rien a voir avec de la sécurité par l'obscurité ici, le probleme est bien decrit dans l'annonce, il n'y a rien de secret.
-
-
[+] Et les clefs des dev Debian et autres gros projects
Quelqu'un a t'il testé si des clefs de dev Debian et autres gros projets sont touchés ? Ca serait cool de le testé et d'avertir les personnes concernées. Histoire qu'on se retrouve pas avec qq'un nous uploadant des paquets vérolé sous une fausse identité. Encore faut-il avoir un compte, mais bon...
-
[^]Re: Et les clefs des dev Debian et autres gros projects
Posté par Misc (page perso, ) le 27/11/2003 à 12:51. (lien). Évalué à 2.Ou accédant par erreur à des serveurs debian ?
Sauf erreur de ma part, toute l'architecture debian se base sur gpg ( gpg pour changer le mot de passe, etc ), donc le risque est réel, et sur 1000 développeurs, combien de chance pour que un soit touché ?
moins de 1/1000, j'éspére.-
[^]Re: Et les clefs des dev Debian et autres gros projects
Posté par SomeBugsInMe () le 27/11/2003 à 13:09. (lien). Évalué à 4.On peut espérer que ces développeurs n'utilisent pas une méthode de signature/chiffrement déconseillée par l'auteur de gpg (affichant même un warning d'ailleurs). Et, par ailleurs, ils peuvent révoquer leur clé si elle est concernée par cette faille.
-
-
[+] [^]Re: Et les clefs des dev Debian et autres gros projects
Posté par Benoît Sibaud (Jabber id, page perso, ) le 27/11/2003 à 14:13. (lien). Évalué à -3.$ gpg --keyserver=pgp.mit.edu --keyring /usr/share/keyrings/debian-keyring.gpg --list-keys --with-colon | awk -F: '{if($4 == 20) print "gpg --list-keys 0x"$5}'|sh
gpg: error reading key: clé publique non trouvée
(...)
gpg: error reading key: clé publique non trouvée
Aucune des clés trouvées ne semble concernée.
(debian-keyring du 2003.11.03)-
[^]Re: Et les clefs des dev Debian et autres gros projects
Posté par Julien Danjou (page perso, ) le 27/11/2003 à 15:22. (lien). Évalué à 6.gpg: error reading key: clé publique non trouvée
Et il y en a aucune ? tssss :-)
$ gpg --keyserver=pgp.mit.edu --keyring /usr/share/keyrings/debian-keyring.gpg --list-keys --with-colon | awk -F: '{if($4 == 20) print $5}' | wc -l
33
Il y en a donc 33.
La liste:
$ gpg --keyserver=pgp.mit.edu --keyring /usr/share/keyrings/debian-keyring.gpg --list-keys --with-colon | awk -F: '{if($4 == 20) print "gpg --keyring /usr/share/keyrings/debian-keyring.gpg --list-keys 0x"$5}'|sh-
[+] [^]Re: Et les clefs des dev Debian et autres gros projects
Posté par Benoît Sibaud (Jabber id, page perso, ) le 27/11/2003 à 15:37. (lien). Évalué à -2.Si je pouvais me moinser je le ferais. Allez-y, fouettez-moi avec une pelle.
-
[^]Re: Et les clefs des dev Debian et autres gros projects
Posté par Igor Genibel (page perso, ) le 27/11/2003 à 16:22. (lien). Évalué à 3.$ gpg --no-default-keyring --keyring /usr/share/keyrings/debian-keyring.pgp --keyring /usr/share/keyrings/debian-keyring.gpg --list-keys --with-colon | awk -F: '{if($4 == 20) print "gpg --no-default-keyring --keyring /usr/share/keyrings/debian-keyring.pgp --keyring /usr/share/keyrings/debian-keyring.gpg --list-keys 0x"$5}'|sh | awk '/debian.org/ {print $NF}' | uniq
donne 25 pas 33-
[^]Re: Et les clefs des dev Debian et autres gros projects
Posté par Jean-Michel Kelbert () le 27/11/2003 à 16:44. (lien). Évalué à 2.Tu pourrais les lister stp. Je suis moi même dev, et je n'ai pas d'accès avant samedi au port 22...
Juste pour vérifier que je ne suis pas dedans, et que personne que je connais n'y soit !-
[^]Re: Et les clefs des dev Debian et autres gros projects
-
[+] [^]Re: Et les clefs des dev Debian et autres gros projects
Posté par Julien Danjou (page perso, ) le 27/11/2003 à 16:52. (lien). Évalué à -8.La liste:
<aigarius@debian.org>
<bartw@debian.org>
<bas@debian.org>
<dres@debian.org>
<edd@debian.org>
<edward@debian.org>
<epg@debian.org>
<fizbin@debian.org>
<hecker@debian.org>
<jdassen@debian.org>
<jmr@debian.org>
<jwest@debian.org>
<lawrencc@debian.org>
<martin@debian.org>
<meskes@debian.org>
<mhummel@debian.org>
<mmagallo@debian.org>
<pat@debian.org>
<pdm@debian.org>
<rbf@debian.org>
<schuller@debian.org>
<tomasera@debian.org>
<wagner@debian.org>
<wakkerma@debian.org>
<willy@debian.org>-
[^]Re: Et les clefs des dev Debian et autres gros projects
Posté par Bernard Massot () le 27/11/2003 à 21:30. (lien). Évalué à 4.La liste des logins aurait suffi. Maintenant il vont augmenter leur dose de spam grâce à toi...
-
-
-
-
-
Re: Un bug de GnuPG compromet plusieurs centaines de clés
Phong Nguyen ? C'est pas le programmeur de AsmFlash sur HP48S, à l'époque?
Je est un autre.
-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
Posté par Alexandre Beraud () le 28/11/2003 à 13:37. (lien). Évalué à 2.C'est exactement la question que je me suis posee. Il avait fait tron aussi avec son frere. Mais je crains que ce couple nom/prenom soit assez repandu.
Re: Un bug de GnuPG compromet plusieurs centaines de clés
Pour ce qui est du nombre de commandes en console, je ne dirais pas qu'il est seulement de 5, mais effectivement, c'est un programme assez intuitif pour qui sait deja ce qu'il est cense faire.
Je me permet donc de le rappeler !
D'abord l'idee, c'est d'utiliser la theorie des nombres (vous savez, mathematiques modulaires, nombres premiers, fonctions a trappes, ... bref de quoi faire de beaux reves) pour la cryptographie. C'est pas nouveau, ca a commence avec le RSA (d'ailleurs GnuPG peut l'utiliser).
Ca permet d'avoir une clef publique, qu'on file a tout le monde (mais sans hesiter hein... on la met sur des serveurs ou on la retrouve avec votre mail, votre pseudo, votre nom, votre prenom, ...), et une clef PRIVEE qui lui est associee qu'on garde bien au chaud pour soi. Elle est protegee par un pass au cas ou mais c'est pas ca la securite, C'EST BEL ET BIEN QU'ELLE EST CENSEE RESTER A VOTRE SEULE VUE.
Avec la clef publique, tout le monde peut crypter des messages que seul vous (avec votre clef privee), pouvez decrypter. Un peu comme si vous filiez a tout le monde des canedas ouverts pour enfermer les messages qui vous sont destines, mais que vous gardiez la clef pour les ouvrir.
Avec la clef privee, vous pouvez aussi signer des messages dont tout le monde pourra verifier l'authenticite avec la clef publique.
En gros au debut il y avait PGP, duquel est issu le standard OpenPGP, dont GnuPG est une implementation.
Tout ca trouve surtout son interet pour les mails, car il faut savoir que :
- les mails destines a Monsieur X arrivent effectivement la majorite du temps directement aux yeux de Monsieur X et lui seul (personne ne lui pique, personne ne l'intercepte), bien que des risques restent existants (surtout s'il s'agit de donnees recherchees par un provider, un hebergeur mail, un gouvernement, Echelon ;)...)
- les mails provenant d'apres le serveur de mails de Monsieur X peuvent tout a fait avoir etes envoyes par Monsieur Y (les "ignares" appellent ca le mail "anonyme")
On peut TOUT faire avec gpg en console (GnuPG quoi), Enigmail permet de tout integrer ou presque a mozilla (une fois l'installation et la configuration de depart faites), gpa je le deconseille (pas complet du tout) et kpgp est effectivement pas mal.
N'oubliez pas de mettre un pass a votre clef !
Ca peut etre sympa si vous laissez votre machine a un pote le temps d'aller aux toilettes par exemple (mauvais exemple chuis en dvorak... hin hin hin), ou bien si un script kiddy intercepte la clef (mais faudrait que vous soyez mauvaaais... lol)
-
[^]Re: Un bug de GnuPG compromet plusieurs centaines de clés
[+] Re: Un bug de GnuPG compromet plusieurs centaines de clés
Yo,
pour les réfractaires à gnupg , et après quelques post sur les problèmes
d'utilisation une solution simple pour signer/crypter sans se prendre le choux
c'est kgpg couplé à kmail.
Au premier lancement kgpg demande les infos pour la création du keyset,
ensuite il runne dans la taskbar, on crypte ou signe en cliquant glissant un
fichier dessus, ou sinon grace au menu contextuel ....
L'integration au client kmail est tres simple aussi, il suffit de selectionner
sa clé dans le menu de configuration "identité" puis onglet sécurité.
Plus d'excuses maintenant ;)
Cette page a été générée par Templeet en 0.1427s (dont 0.0255 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.