uZine
Retour au sommaire

Web indépendant, Web citoyen

Cyber-économie mon amour

Internet & Journalisme

Pressions & répression



Un trou de sécurité important découvert dans OpenPGP
jeudi 22 mars 2001




Une faille importante dans le format de données OpenPGP (utilisé par PGP mais aussi par tous les logiciels compatibles comme GnuPG) a été découverte par des cryptanalystes tchèques. Cette faille permet de récupérer la clé de signature (mais non de déchiffrement) en altérant d’une certaine manière le fichier la contenant sous forme cryptée, puis en récupérant n’importe quel message signé avec la clé altérée ; la faille consiste en fait à contourner le cryptage du fichier contenant les clés privées (cryptage auquel est vouée la phrase de passe de PGP).

Ainsi, une personne pouvant lire et modifier ce fichier peut récupérer toutes les clés de signature (et donc imiter votre signature de façon indétectable) sans avoir à connaître ou deviner la phrase de passe. Conséquence : en attendant une correction de bug pour le logiciel que vous utilisez, faites très attention à ce que personne ne puisse modifier votre fichier de clés secrètes (notamment, ne le stockez pas sur un serveur en réseau en pensant que le chiffrement par la phrase de passe vous protège de toute attaque).

Extrait du rapport publié par les deux cryptanalystes :

« In order to protect the private key, its value is stored in the private keyring (file) secring.skr in the encrypted form. A strong symmetric cipher is selected for this by the user (AES, CAST5, IDEA) with sufficiently long key, which is derived from the secret access password (password, passphrase), known only by the user. In the contribution we try to show that if the intruder has access to this file (or a record), it may obtain the user’s private signature key under certain circumstances without the need to know its passphrase or without having to attack on it. The attack consists in a special modification of parameters of the signature algorithm and obtaining of a signature of any file (e-mail message) by such a modified signature key. We show that the intruder is able to compute the private signature key based on this procedure. As the corrupted record or file (secring.skr) can be restored back to its original condition, this intrusion is very dangerous. »







> Un trou de sécurité important découvert dans OpenPGP 23 mars 2001, par Guillaume

Et toc ! A tout miser sur le même et seul cheval...

PGP, quelle qu’en soit la forme (commerciale / libre) a complètement gelé le développement d’outils concurrents ou alternatifs de chiffrement / déchiffrement. On ne peut pas dire que ce soit une très bonne chose...

[Répondre à ce message]