La fin des clés SSL sécurisées ?
La fin des clés SSL sécurisées ? - Sécurité - Windows & Software
Marsh Posté le 18-11-2006 à 21:45:21
Tu as lu l'article ? Le cryptage SSL est complètement vulnérable...
Marsh Posté le 18-11-2006 à 21:48:02
Bien sûr, les certificats SSL nous concernant directement, nous les acheteurs online...
Marsh Posté le 18-11-2006 à 21:57:49
je viens de lire l'article, cette méthode ne nécessiterait pas d'avoir un acces direct a l'OS de la machine qui gere le cryptage ? C'est que je comprend en tout cas.
Du coup meme si un tel soft espion pourrait tourner avec juste des privililèges restreint, ça limiterait déjà enormement l'impact du probleme...
Message édité par El Pollo Diablo le 18-11-2006 à 22:01:16
Marsh Posté le 20-11-2006 à 13:46:33
| El Pollo Diablo a écrit : je viens de lire l'article, cette méthode ne nécessiterait pas d'avoir un acces direct a l'OS de la machine qui gere le cryptage ? C'est que je comprend en tout cas. |
a ce que j en ai compris, non.
il semblerait qu il a déduit de comment travaillait un processeur "type" pour creer les clef public et que tout les processeur font la même chose. et qu a partir de la clef public + la facon dont font les CPU, il arrive a remonter "facilement" a la clef privée
---------------
#mais-chut
Marsh Posté le 20-11-2006 à 14:54:51
C'est pas vraiment ça, ça se base sur une mesure précise du temps que consacre le proc a la chose et sur l'influence que ça a sur le temps des autres process, ce qui pratiquement n'est réalisable efficacement qu'en étant directement sur la machine réalisant l'opération, avec un process tournant sur le meme processeur que celui ou tourne les opérations sur les clés.
J'ai lu 2-3 autres articles et threads sur la question, la methode de l'article du monde serait même surtout efficace avec les Pentium 4.
(HS, mais l'edit rapide c'est vachement bien ! ![[:bien]](https://forum-images.hardware.fr/images/perso/bien.gif "[:bien]")
)
Message édité par El Pollo Diablo le 20-11-2006 à 14:56:52
Marsh Posté le 20-11-2006 à 14:58:35
| Citation : Un petit logiciel "taupe" pourrait donc écouter la puce en toute discrétion, et renvoyer la clé à des hackers, à des services de renseignement ou à des espions à la solde de concurrents. |
Ce passage laisse penser qu'il faut un accès physique à la machine.
Ce qui rend tout l'article catastrophiste pour rien ...
Enfin ce n'est pas très clair, et le fait qu'il soit écrit dans un langage de vulgarisation n'aide pas à savoir si le journaliste sait de quoi il parle ou pas 
Marsh Posté le 20-11-2006 à 15:24:27
La news a été reprise sur slashdot hier ou avant hier, avec en commentaires des explications plus poussées et des renvois vers des sites rentrant plus dans le détail.
La ou ça risque d'être vraiment problematique ce sont sur tous les serveurs web en mutu...
Marsh Posté le 20-11-2006 à 17:16:56
yes +1 sur les sites web en mutu ça va être la galère dès que cette technique sera accessible au commun des mortels.
en effet il faut bien accéder à la machine qui s'occupe du cryptage.
En général pour les bonne boites celle qui proposent les services web et celle qui s'occupent du cryptage ne sont pas les mêmes
Sujets relatifs:
- FTP et SSL : Besoin d'explications
- Que faut il pour une connection Wifi ?
- Recherche Mots clés sur Document WORD ?
- Problème SSL avec remotely anywhere
- Quelles clés du registre pour ces paramètres ?
- Protocole SSL
- Filezilla server SSL derrière un routeur
- Clés USB, APN, Cartes mémoires plus dans l'explorateur
- Certificat SSL pour w2K3 SBS
Marsh Posté le 18-11-2006 à 21:42:28
Un article très interessant, surtout très effrayant ici :
http://www.lemonde.fr/web/article/ [...] 781,0.html
Postez ici vos remarques, vos craintes et vos réactions.