En effet, la société PGP a vu le jour en juin 2002 et vient d'annoncer toutes une série de bonnes nouvelles :
- la société vient d'obtenir 14 millions de $ de 2 fonds d'investissements US
- ils viennent de racheter tous les outils PGP à NAI :
* PGP Mail, PGP File, PGP Disk, & PGP Admin software products for Windows and Macintosh
* PGP Corporate Desktop for Macintosh
* PGP Keyserver for Windows and Solaris
* PGP Wireless for PalmOS and WinCE/PocketPC
* PGP SDK encryption software development kit
- la sortie de PGP 8.0 pour Windows et Mac OS X est prévue en novembre 2002 (il supportera enfin Windows XP)
- toutes les licences sont transférées de NAI à PGP
- les serveurs de clés PGP Keyservers sont réactivés et le mirroring va être mis en place avec les serveurs de clés libres
- un "board" technique est crée avec comme premiers membres Bruce Schneier (expert en sécurité et cryptographie) et Philip Zimmermann (créateur de PGP)
Pour les utilisateurs de l'open-source, les bonnes nouvelles sont à trouver dans une lettre du CTO et dans la FAQ :
- les sources de PGP vont être ouvertes au public
- PGP 8.0 aura une version Linux.
![[en]](../images/en.png)
Annonce de presse (390 hits)-
FAQ (347 hits)
-
Lettre du CTO (348 hits)
> Lire la dépêche (22 commentaires, moyenne: 6,3).
Vous avez demandé le commentaire #128220.
Run by 
Cette page a été générée par Templeet en 0.058s (dont 0.006 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Une faille théorique dans le logiciel de chiffrement PGP
Voir l'article sur http://fr.news.yahoo.com/020814/7/2pqgf.html En résumé : pas de panique, faut vraiment le chercher pour se faire avoir.
[^]Re: Une faille théorique dans le logiciel de chiffrement PGP
la signature ne permet-elle pas d'éviter que quelqu'un modifie le message entre temps?
[^]Re: Une faille théorique dans le logiciel de chiffrement PGP
Bien sûr, la signature préserve l'intégrité du message mais dans l'article il n'est question que d'un chiffrement "banal", type RSA par exemple, sans signature.
Hurd will be out in a year (or two, or next month, who knows)
-- Linus Benedict Torvalds, 1991
[^]Re: Une faille théorique dans le logiciel de chiffrement PGP
C'est evident qu'il faut le vouloir. J'ai moi aussi un cas de figure ou PGP echoue lamentablement: Le pirate ne recoit aucun message, mais il sait que l'expediteur en a envoye un code avec PGP. Il mail a l'expediteur en disant: "Mon FAI a rejete ton mail, pour des raisons de securite nationale, je te propose donc de l'envoyer en clair a cette adresse:" suivi de l'adresse du pirate. Bon, allez, c'est vraiment n'importe quoi, donc -1 (c'est bien comme ca qu'on dit?)
[+] [^]Dans la série ...
... lu sur la tribune (je retranscris de mémoire, la personne reconnaissant l'auteur gagne un Mars) :
"Dans PGP/GPG, la faille de sécurité, c'est l'utilisateur."
[^]Re: Une faille théorique dans le logiciel de chiffrement PGP
C'est pas n'importe quoi: cela s'appelle du social engineering chez les vrai crackers (les vieux). Une femme est championne à ce petit jeu et a réussi à obtenir les mots de passe d'une base militaire américaine en Allemagne, devant une assemblée de journalistes, par simple appel vocal!
[+] [^]Re: Une faille théorique dans le logiciel de chiffrement PGP
tu réussirai à m'avoir son nom/prénom et numéro de
téléphone ?
[^]Re: Une faille théorique dans le logiciel de chiffrement PGP
Cette faille relève plus du social ingeneering que d'une vrai faille. Faut lire l'article pour comprendre
En résumé l'attaquant bidouille le message en y rajoutant des octets connus par lui. Il envoie le message au vrai destinataire. Si celui-ci répond à la personne qui lui envoie un message au contenu incompréhensible en incluant le message après déchiffré, alors l'attaquant pourra lire le message, du moins au maximum une partie.
En effet la taille originale du message ne pourra etre changée et il faut un octet ajouté pour lire un octet de texte. -> 2 fois pour lire le message en entier.
Attention l'article de yahoo parle de retrouver la clé privée. L'article de schneier n'en parle pas et je ne vois pas où c'est possible car les algos utilisés par PGP/GPG ont besoin d'énormes quantités de paires clair/chiffré pour pouvoir être cryptanalysé de manière à retrouver la clé utilisée pour chiffrer.
Donc à prendre avec des pincettes.
De toute façon il y a un risque pour la clé secrète alias la clé de session utilisée pour la partie de chiffrement symétrique et pas la clé privée utilisée pour le chiffrement asymétrique.
Petite erreur de traduction de la part de nos amis :)
[^]Une faille théorique dans le logiciel de chiffrement PGP ? Non !
Alors je m'insurge contre une telle diffamation, car c'en est une vis à vis de PGP : cette faille n'est pas due à PGP, elle est latente au principe même de la cryptographie asymétrique ! En plus c'est une attaque "classique" depuis un bail... Si c'est pas une manip pour plomber PGP ça, moi je suis le Pape.
Déjà que le rachat par NAI était une manip télécomandée afin de museler PGP... Vous vous rappellez du bug relatif à la "key recovery" dans les dernières modifs de la norme, lesquelles OpnPGP refusaient d'implémenter ?
Oui, PGP est (ou plutôt était) un excellent outil pour chaque citoyen, et à ce titre il est la cible de quelques liberticides bien connus ;)
ALors je ne veux pas descendre cette nouvelle mouture avant de l'avoir gouté et relancer la parano, mais GPG a été conçu pour pallier à ce doute, et maintenant qu'il est là, et approuvé par le DSSCI, faudrait être fou pour utiliser autre chose !