Flan: c'est actif par defaut oui.
Zeph Le 23/01/2016 à 10:10 Mais je comprends pas, il y a une option qui permet au client d'envoyer sa clé privée au serveur ?! Comment c'est possible ça ?
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
Non, c'est une faille dans la feature qui permet de lire au-delà d'un buffer, et de récupérer la clé privée en mémoire.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboFlippant mais ca marche que dans des conditions particulières, on est loin d'un machin de la taille d'une montre qu'ils suffit de passer a coté de la machine en 3s pour recuperer les 3Po de données
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
C'est déjà assez inquiétant, à ma connaissance c'est la première fois que ça fonctionne aussi rapidement et dans des conditions aussi proches de la réalité.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turbodecryption of a carefully-chosen ciphertext,
basé sur des bugs probables de libgcrypt-1.6.3
et il a fallu observer 75 fois la même opération (ce qui est moins qu'avant, certes, mais pas très réaliste)
bah té:
Current Status.
We worked with the developers of Libgcrypt and GnuPG to evaluate and deploy countermeasures preventing the attacks described in this paper (CVE 2015-7511). GnuPG's Libgcrypt 1.6.5, containing such countermeasures, was released simultaneously with the public posting of our results.
Cela signifie donc que c'était un bug de l'implémentation de GnuPG et non pas une faille de ECDSA. Comme d'habitude. Il faut programmer de manière sécurisée et c'est loin d'être trivial.
donc marrant mais pas de panique, c'est avant tout une opération de com'.
Mouais, enfin, "bug de l'implémentation", c'est quand-même chercher loin de dire que c'est une erreur dans le code. Le code crypte et décrypte tout correctement, la mesure des émissions électromagnétiques émises par le processeur lors de l'exécution du code ne fait pas partie du modèle théorique de la machine. En principe, comme le code est écrit en C, ce genre d'effets n'est pas du tout défini, il n'y a d'ailleurs rien qui garantit qu'une contremesure quelconque fonctionne. (Le compilateur a le droit de l'éliminer parce que le vieux code donnait le même résultat.)
dis le comme tu veux mais oui, c'est un bug spécifique a libgcrypt, qui a été corrigé.
Un CPU "general purpose" n'est, par définition, pas adapté aux calculs sécurisés, donc ce genre de leak n'est pas du tout étonnant.
D'autre part, quand on fait du code crypto sérieux, on prend en compte les side channels DÈS LA CONCEPTION.
Donc a fortiori, quand on fait du code crypto sérieux sur un cpu non sécurisé, la moindre des choses voudrait qu'on fasse le double d'efforts pour essayer d'atténuer les problèmes qu'on ne peut pas résoudre complètement.
Apres ca depends de la sériosité du truc, si c'est le cryptage/hashage de mise a jour pour un systeme embarqué, ce n'est pas la meme chose que des communications interne a un gouvernement
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
#POINTCYBERCRYPTAGEDIGITAL§§§#
Note: il faut avoir SSLv2 enabled
I accidentally your water.
Non, c'est parce que les gens veulent connecter tout et n'importe quoi par Internet, Bluetooth etc. La meilleure sécurité reste l'absence de connexion.
y'a des alternatives propres (et secure) pour les zob jet embarqués ?
puis sinon non, on a pas besoin de dérouleur de PQ connecté.
Non l'absence de connection est la meme chose que la securité par obfuscation.
Ce n'est pas parce que ton post-it avec tout tes mots de passes, ou les liasses de billets sous ton matelas ne sont pas connecté que c'est sécurisé.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Kevin Kofler Le 04/05/2016 à 14:39Edité par Kevin Kofler le 04/05/2016 à 14:49 Comment veux-tu que quelqu'un pirate ta télé non connectée? Parce qu'à moins de:
1. irrompre faire irruption dans ton appartement (auquel cas tu as déjà un problème de sécurité beaucoup plus grand que la sécurité informatique) et
2. ouvrir l'appareil pour reprogrammer le firmware ou quelque chose du genre,
je ne vois vraiment pas. Ça n'a rien à voir avec l'obfuscation.
(on dit faire irruption, il n'y a pas de verbe existant)
