Grosse erreur dans Debian
Modérateur : Modérateurs
- earendil
- Modérateur
- Messages : 2357
- Enregistré le : mar. 06 févr., 2007 19:37
- Localisation : Dans la BAO...
Grosse erreur dans Debian
Pour ceux qui aurait un serveur Debian sous Etch, Leny ou Sid :
comme dit sur PCInpact, LinuxFR et bien d'autres, la génération des clés SSL n'est plus aléatoire.
Donc, toutes les clés DSA, RSA, PKI généré ou utilisé sur une Debian sont potentielement vulnérable.
Il est vivement conseillé de toutes les regénérer
comme dit sur PCInpact, LinuxFR et bien d'autres, la génération des clés SSL n'est plus aléatoire.
Donc, toutes les clés DSA, RSA, PKI généré ou utilisé sur une Debian sont potentielement vulnérable.
Il est vivement conseillé de toutes les regénérer
- earendil
- Modérateur
- Messages : 2357
- Enregistré le : mar. 06 févr., 2007 19:37
- Localisation : Dans la BAO...
pour essayer de faire une petite explication :
dans la sécurité, pour éviter que une conversation soit compromise, on signe l'objet (mail, fichier, flux...). Cette signature est faite à l'aide de ce que l'on appelle un couple de clé publique privé (clé RSA/DSA). La génération de ces clés doit être imprévisible (pour empêcher le vilain pirate de reproduire ta clé et d'usurper ton identité numérique).
Malheureusement, suite à un problème de patch sur le moteur de génération de clé (OpenSSL) sous Debian, le générateur n'était plus vraiment aléatoire.
Le problème est énorme car il touche les clé pour OpenSSH (utiliser pour la connexion en distance), les certificats des sites Web (que ce soit pour le http, le pop, l'imap, le smtp...) et même les signatures des certificats (un peu comme le certificat des Impots - j'espère que celui là n'était pas généré par une Debian...)
Pas mal d'info ici : http://roland.entierement.nu/blog/2008/ ... shssl.html
Edit : visiblement, mon orthographe aussi est catastrophique...
dans la sécurité, pour éviter que une conversation soit compromise, on signe l'objet (mail, fichier, flux...). Cette signature est faite à l'aide de ce que l'on appelle un couple de clé publique privé (clé RSA/DSA). La génération de ces clés doit être imprévisible (pour empêcher le vilain pirate de reproduire ta clé et d'usurper ton identité numérique).
Malheureusement, suite à un problème de patch sur le moteur de génération de clé (OpenSSL) sous Debian, le générateur n'était plus vraiment aléatoire.
Le problème est énorme car il touche les clé pour OpenSSH (utiliser pour la connexion en distance), les certificats des sites Web (que ce soit pour le http, le pop, l'imap, le smtp...) et même les signatures des certificats (un peu comme le certificat des Impots - j'espère que celui là n'était pas généré par une Debian...)
Pas mal d'info ici : http://roland.entierement.nu/blog/2008/ ... shssl.html
Edit : visiblement, mon orthographe aussi est catastrophique...
Modifié en dernier par earendil le jeu. 15 mai, 2008 18:52, modifié 1 fois.
- Underground78
- Administrateur
- Messages : 11272
- Enregistré le : mar. 06 févr., 2007 21:54
- Localisation : France
- Contact :