lundi 07 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

Journal : Vulnérabilité Debian

Posté par snt () le 13 mai 2008
C'est énorme : La version d'openssl packagé par debian génère des clés de chiffrement prévisibles ! Donc non seulement, il faut mettre à jour vos machines, mais en plus il faut regénérér toutes vos clés, ou alors il ne faudra pas pleurer après.

Plus d'infos sur :
http://lists.debian.org/debian-security-announce/2008/msg001(...)

> Lire le journal (97 commentaires, moyenne: 2,8).  

Vous avez demandé le commentaire #931049.

Pas seulement les cles generees sur Debian

Posté par Alban Crequy (Jabber id, page perso, ) le 13/05/2008 à 23:17. (lien). Évalué à 4.

Les cles à considérer comme compromises ne sont seulement celles générées sur les machines Debian/Ubuntu mais aussi celles qui ont étés utilisées sur une machine Debian/Ubuntu:

Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.

(Dans ce cas là le "bug" ne permet pas de trouver la clé mais de se logger sans avoir besoin de la clé initiale.)

Pas de chance pour moi, ma clé a été généré sur AIX mais je l'utilise couramment sur Debian :-(

  • [^]Re: Pas seulement les cles generees sur Debian

    Posté par JereMe () le 14/05/2008 à 22:10. (lien). Évalué à 2.


    Dans ce cas là le "bug" ne permet pas de trouver la clé mais de se logger sans avoir besoin de la clé initiale.


    Je trouve le passage que tu cites très très flou et des précisions sont bienvenues mais je ne mettrais pas ma main a coupé que ce bug ne permette pas de trouver la clé privé (à partir de la clé publique + de signatures faibles faites par la machine ayant le bug et permettant de remonter à la clé privé).

    Si quelqu'un peut m'éclairer ...

    [^]Re: Pas seulement les cles generees sur Debian

    Posté par khivapia () le 15/05/2008 à 01:28. (lien). Évalué à 5.

    C'est un "défaut" bien connu du DSA. Si on connaît la valeur du paramètre aléatoire utilisé pour une signature, on peut retrouver la clef secrète.

    Plus loin que ça, si pour deux signatures, les deux valeurs du paramètre aléatoire sont identiques, alors on peut retrouver la clef secrète.

    • [^]Re: Pas seulement les cles generees sur Debian

      Posté par JereMe () le 15/05/2008 à 08:07. (lien). Évalué à 2.

      merci pour la confirmation

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0472s (dont 0.0061 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.