Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Libgcrypt 1.7.8 bouche une faille permettant de récupérer une clé RSA sur 1024 bits

L'été sera chaud !
Internet 2 min
Libgcrypt 1.7.8 bouche une faille permettant de récupérer une clé RSA sur 1024 bits
Crédits : Warchi/iStock

Libgcrypt est victime d'une faille de sécurité qui permet de récupérer une clé de chiffrement RSA sur 1024 bits, et laisse entrevoir une attaque similaire sur 2048 bits. Une mise à jour est disponible, reste maintenant à ce qu'elle soit implémentée par les systèmes utilisant cette bibliothèque.

Une mise à jour importante a été publiée pour la bibliothèque de cryptographie Libgcrypt. Portant le numéro de version 1.7.8, elle permet de combler la faille identifiée CVE-2017-7526.

Une faille pour RSA-1024, qui pourrait toucher RSA-2048

Elle est importante puisque l'équipe de Debian explique que les chercheurs ont « découvert que Libgcrypt est prédisposé à une attaque par canal auxiliaire locale permettant une récupération complète de clé pour le chiffrement RSA-1024 ». Les chercheurs précisent également que cette attaque pourrait fonctionner sur des clés RSA sur 2048 bits avec une puissance de calcul « modérément plus importante ».

Précisons tout de même que son exploitation nécessite d'avoir accès à la machine et pouvoir y exécuter des logiciels de manière arbitraire. Détail important cependant, dans le cas d'un ordinateur exécutant plusieurs machines virtuelles, « cette attaque peut être utilisée par une VM pour récupérer des clés privées d'une autre VM », ce qui peut être un problème dans le cadre de serveurs par exemple. Tous les détails techniques sont disponibles dans ce document.

Des mises à jour disponibles pour Debian et Ubuntu

Une faille de sécurité dont la portée est augmentée par la très large utilisation de Libgcrypt dans de nombreuses distributions, y compris dans des systèmes propriétaires comme des NAS. Comme toujours, il est recommandé de se mettre à jour dès que possible.

Certaines distributions Linux ont d'ores et déjà déployé des correctifs, c'est notamment le cas de Debian et d'Ubuntu. De son côté Red Hat explique qu'il mène des investigations afin de vérifier ce qu'il en est pour Red Hat Entreprise Linux 5 à 7. D'autres arriveront certainement dans les jours qui viennent.

32 commentaires
Avatar de Ricard INpactien
Avatar de RicardRicard- 04/07/17 à 07:45:04

RSA 1024 ? Qui l'utilise encore ?
La norme c'est 3072 maintenant, voir 4096.

Avatar de TNZfr INpactien
Avatar de TNZfrTNZfr- 04/07/17 à 07:53:09

Avec ou sans obligation de déclaration ? ( > à 2048)

Avatar de David_L Équipe
Avatar de David_LDavid_L- 04/07/17 à 07:55:47

https://www.nextinpact.com/news/99777-chiffrement-notre-antiseche-pour-expliquer-a-vos-parents.htm

Je te conseille de rechercher le passage qui dit « l’utilisation des moyens de cryptologie est libre »

Édité par David_L le 04/07/2017 à 07:56
Avatar de jice68 INpactien
Avatar de jice68jice68- 04/07/17 à 07:57:05

David_L a écrit :

https://www.nextinpact.com/news/99777-chiffrement-notre-antiseche-pour-expliquer-a-vos-parents.htm

Je te conseille de rechercher le passage qui dit « l’utilisation des moyens de cryptologie est libre »

Pour le moment... :(

Avatar de Wikus INpactien
Avatar de WikusWikus- 04/07/17 à 08:02:43

jice68 a écrit :

Pour le moment... :(

E. Macron approuve ce message... et veut qu'on lui fournisse "les codes" :chinois:

Plus sérieusement :
https://www.nextinpact.com/news/103575-les-outils-chiffrement-face-a-declaration-a-anssi-exception-francaise.htm
Quand on voit la liste de documents à fournir, tu m'étonnes que c'est une calamité pour les "petits" développeurs

Avatar de Ricard INpactien
Avatar de RicardRicard- 04/07/17 à 08:09:42

Wikus a écrit :

E. Macron approuve ce message... et veut qu'on lui fournisse "les codes" :chinois:

Plus sérieusement :
https://www.nextinpact.com/news/103575-les-outils-chiffrement-face-a-declaration-a-anssi-exception-francaise.htm
Quand on voit la liste de documents à fournir, tu m'étonnes que c'est une calamité pour les "petits" développeurs

Su Git, personne n'ira vérifier que tu es français. :yes:

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 04/07/17 à 08:12:19

Ricard a écrit :

Su Git, personne n'ira vérifier que tu es français. :yes:

Je propose de franciser ce nom barbare en "Gîte" :fr: :pinard: :dd:

Avatar de OlivierJ Abonné
Avatar de OlivierJOlivierJ- 04/07/17 à 08:14:34

Ricard a écrit :

RSA 1024 ? Qui l'utilise encore ?
La norme c'est 3072 maintenant, voire 4096.

(voire, pas "voir", ça ne concerne pas la vision)
:cap:

Sinon, la recommandation pour encore plus de 10 ans, c'est 2048 bits pour RSA. Il faut dire que le record de factorisation est à 768 bits et donc on est très très loin des 2048 (même 1024 semble quasi hors de portée sauf à y mettre des moyens énormes).
https://www.keylength.com/fr/5/

Avatar de the_Grim_Reaper INpactien
Avatar de the_Grim_Reaperthe_Grim_Reaper- 04/07/17 à 08:21:20

Ricard a écrit :

RSA 1024 ? Qui l'utilise encore ?
La norme c'est 3072 maintenant, voir 4096.

Bah, beaucoup de monde en l’occurrence, surtout du 2048.

LE 3072 et 4096 sur beaucoup de liens c'est trop lourd à mettre en place/exploiter.
Après, pour avoir fait des préco de sécu, j'avais regardé sur le RGS ancienne version, et du coup, j'étais parti sur du 4096 pour avoir une dureé de vie des clés assez grande vu la durée de vie des documents chiffrés.

jice68 a écrit :

Pour le moment... :(

+1 ... Mac n'est pas vraiment aimant pour le chiffrement :/
A quand les échanges secret devenus publiques hors de Wikileaks ? ^^

Avatar de Wikus INpactien
Avatar de WikusWikus- 04/07/17 à 08:23:48

Ricard a écrit :

Su Git, personne n'ira vérifier que tu es français. :yes:

Certes :chinois:
On remercie donc Apple d'exiger la déclaration lors de la publication d'un tel soft sur l'AppStore (est-ce toujours le cas ?). ChatSecure, Wire, ProtonMail, cryptomator... ont visiblement été ravis de se frotter à l'administration française !

Thankfully, there is an English website for this.
But the fun stops there. From now on, everything is in French. Yup. That’s right. Everything. Even the responses you receive are in French. And you have to submit your request via mail (yes, not email).
cryptomator

Édité par Wikus le 04/07/2017 à 08:24
Il n'est plus possible de commenter cette actualité.
Page 1 / 4