Posté par Nibel .
Évalué à 3.
Dernière modification le 10 novembre 2020 à 23:00.
AMD, Nvidia et ARM ne semblent pas épargnés non plus.
Concernant AMD, seuls les processeurs AMD Rome seraient touchés.
ARM et Nvidia le sont probablement aussi mais les chercheurs n'ont pas forcément du matos sous la main pour pousser les recherches dans ce sens. Cependant, ce matériel embarquant des compteurs d'énergie et les architectures Marvell et Ampere fournissant également des pilotes pour fournir un accès non privilégié aux capteurs matériels, il est fort probable qu'il soit concerné également.
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
N’étant pas expert en cryptographie, j’aurais un peu de mal à juger de la pertinence des faits suivants mentionnés dans l’article.
Les auteurs expliquent avoir mis environ une journée à récupérer 16 octets de clef rsa sur une machine dédiée, et environ deux semaines pour 12 octets sur une machine active. Même si le travail pour récupérer les informations étaient linéairement dépendante de la taille de la clef, ce qui est loin d’être certain, ça fait tout de même bien long pour récupérer une clef AES d’au moins 256 octets — la taille usuelle minimale de telles clefs si je ne m’abuse — non ?
Posté par aiolos .
Évalué à 2.
Dernière modification le 11 novembre 2020 à 15:09.
Je n'ai pas été voir les détails de l'attaque encore… 16 octets, c'est une clef AES 128, qui est sans doute la taille la plus utilisée ; 24h, c'est pas l'attaque la plus lente que j'ai vue ;)
De plus, une clef partiellement connue, ça permet déja de faciliter grandement des attaques. Pour une attaque en pratique, il faut voir à quel moment ça vaut le coup de continuer cette attaque par rapport à passer à une autre attaque (en fin d'attaque, il est courant de passer à une recherche exhaustive).
Ça ferait une quinzaine de jours pour 256 octets, donc (en supposant que c'est linéaire)? C'est pas si long que ça, l'attaque ne se fait pas forcément en temps réel, mais peut être utilisée sur des données préalablement interceptées. Au bout de 15 jours je pense que certaines informations seront toujours valables et intéressantes.
Chiffrer une information, ce n'est pas rendre une donnée indéchiffrable pour ceux qui la voient passer. C'est la rendre indéchiffrable pendant un certain temps. Ce temps dépend du chiffrement, de la taille de la clé et de la puissance disponible à ceux qui veulent la déchiffrer. En général, ça se compte en année.
Si tu communique ton mot de passe via un chiffrement, il faudra penser à le changer avant ce délai.
Si tu communique des données punissable devant la loi, tu aura intérêt à prendre un chiffrement et une clé ne permettant pas d'être déchiffrable avant le délai de prescription.
S'il existe une méthode pour rendre obsolète une clé en 24h ou une semaine, tu as tout intérêt à ne pas transmettre via cette clé une information pouvant te compromettre sous 24h ou une semaine.
# AMD, Nvidia, ARM
Posté par Nibel . Évalué à 3. Dernière modification le 10 novembre 2020 à 23:00.
AMD, Nvidia et ARM ne semblent pas épargnés non plus.
Concernant AMD, seuls les processeurs AMD Rome seraient touchés.
ARM et Nvidia le sont probablement aussi mais les chercheurs n'ont pas forcément du matos sous la main pour pousser les recherches dans ce sens. Cependant, ce matériel embarquant des compteurs d'énergie et les architectures Marvell et Ampere fournissant également des pilotes pour fournir un accès non privilégié aux capteurs matériels, il est fort probable qu'il soit concerné également.
La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.
[^] # Re: AMD, Nvidia, ARM
Posté par antistress (site web personnel) . Évalué à 5. Dernière modification le 11 novembre 2020 à 00:21.
On aura un vaccin contre la Covid avant que les failles des CPU soient rebouchées…
# Efficacité limitée
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 5.
N’étant pas expert en cryptographie, j’aurais un peu de mal à juger de la pertinence des faits suivants mentionnés dans l’article.
Les auteurs expliquent avoir mis environ une journée à récupérer 16 octets de clef rsa sur une machine dédiée, et environ deux semaines pour 12 octets sur une machine active. Même si le travail pour récupérer les informations étaient linéairement dépendante de la taille de la clef, ce qui est loin d’être certain, ça fait tout de même bien long pour récupérer une clef AES d’au moins 256 octets — la taille usuelle minimale de telles clefs si je ne m’abuse — non ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Efficacité limitée
Posté par aiolos . Évalué à 2. Dernière modification le 11 novembre 2020 à 15:09.
Je n'ai pas été voir les détails de l'attaque encore… 16 octets, c'est une clef AES 128, qui est sans doute la taille la plus utilisée ; 24h, c'est pas l'attaque la plus lente que j'ai vue ;)
De plus, une clef partiellement connue, ça permet déja de faciliter grandement des attaques. Pour une attaque en pratique, il faut voir à quel moment ça vaut le coup de continuer cette attaque par rapport à passer à une autre attaque (en fin d'attaque, il est courant de passer à une recherche exhaustive).
[^] # Re: Efficacité limitée
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 3.
Ça ferait une quinzaine de jours pour 256 octets, donc (en supposant que c'est linéaire)? C'est pas si long que ça, l'attaque ne se fait pas forcément en temps réel, mais peut être utilisée sur des données préalablement interceptées. Au bout de 15 jours je pense que certaines informations seront toujours valables et intéressantes.
[^] # Re: Efficacité limitée
Posté par aiolos . Évalué à 3.
Une clef AES 256, c'est 256 bits, pas 256 octets… Sinon, le reste du commentaire reste valable.
[^] # Re: Efficacité limitée
Posté par KiKouN . Évalué à 4.
Chiffrer une information, ce n'est pas rendre une donnée indéchiffrable pour ceux qui la voient passer. C'est la rendre indéchiffrable pendant un certain temps. Ce temps dépend du chiffrement, de la taille de la clé et de la puissance disponible à ceux qui veulent la déchiffrer. En général, ça se compte en année.
Si tu communique ton mot de passe via un chiffrement, il faudra penser à le changer avant ce délai.
Si tu communique des données punissable devant la loi, tu aura intérêt à prendre un chiffrement et une clé ne permettant pas d'être déchiffrable avant le délai de prescription.
S'il existe une méthode pour rendre obsolète une clé en 24h ou une semaine, tu as tout intérêt à ne pas transmettre via cette clé une information pouvant te compromettre sous 24h ou une semaine.
# Putain d'ornithorynque
Posté par Thomas Debesse (site web personnel) . Évalué à 5.
Putain d'ornithorynque
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: Putain d'ornithorynque
Posté par Tonton Th (Mastodon) . Évalué à 2. Dernière modification le 13 novembre 2020 à 17:01.
Je
nevoispasle rapport,maisj'ai pertinenté parce quej'en avais envieles dessins sont choupis.Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.