Bienvenue sur Cr@zy WS !

Pour plus d'information sur Cr@zy WS, je vous invite à vous rendre dans la partie à propos où j'explique les grandes lignes de ce site consacré en grande partie à l'actualité Hack, Sécurité, High-Tech et Webdev.

Newsletter et réseaux sociaux

Pour suivre les dernières news du site, essayez les différents types d'abonnements disponibles et rejoignez-moi sur les réseaux sociaux.

Cr@zy's Apps

En dehors des scripts que je développe, il y a le sous-domaine Cr@zy's Apps qui est consacré aux applications externes que j'ai pu développer.

Sécurité

Depuis longtemps je m'intéresse à la sécurité informatique où j'effectue des tests d'intrusion, d'audit et d'architecture. A travers mes articles, je vous partage l'essentiel de l'actualité.

Webdev

En ce qui concerne le webdev, je vous propose quelques scripts écrits en PHP, Javascript et autres, que j'essaierai d'alimenter quand j'ai un peu de temps. Je propose également mes services pour le développement de votre site.

Musique

Pour ceux qui apprécient la musique électronique qui tourne autour du Hardcore, Gabber, Industrial, Psychanelic et autres, vous pouvez écouter/télécharger gratuitement mes mixs.

Connexion

connexion auto. à chaque visite
Inscription Mot de passe perdu ?
One is light one is dark...
4 - 8 - 15 - 16 - 23 - 42

RSA réagit sur le choix d'utiliser Dual_EC_DRBG par défaut

24/09/2013 à 13:20
A VOIR AUSSI...
COMMENTAIRES (4)
Guillaume
24/09/2013 à 14:29:54

Que conseilles-tu d'utiliser à la place ?

Cr@zy
24/09/2013 à 20:35:42
+1(1)
Guillaume a dit :
Que conseilles-tu d'utiliser à la place ?

Je ne l'ai pas expliqué dans l'article, mais il suffit de remplacer Q par une valeur aléatoire. Des chercheurs de chez Microsoft expliquent très bien la parade à adopter pour tuer cette backdoor. Des versions de la spécification après la découverte de cette backdoor montrent d'ailleurs (en annexe) comment faire cela.
Le truc le plus embêtant reste la confiance que l'on place en des sociétés comme OpenSSL qui encore aujourd'hui utilisent la valeur par défaut.
Tu as une liste complète des validations pour tout ce qui est software, hardware, firmware, etc... des sociétés utilisant Dual_EC_DRBG.
Bref en gros pour l'instant, Hash_DRBG, HMAC_DRBG, ou CTR_DRBG sont des CSPRNGs non controversés mais Dual_EC_DRBG c'est de la kleptography sauce NSA ;)

lauMarot
24/09/2013 à 21:27:26

"Le RSA (des initiales des trois inventeurs de l'algorithme) ont réagi " => l'article ne commence pas très bien. Pas sur que le profane comprenne le lien entre la société US RSA et le nom de l'algo ustilisant l'initiale du nom de chacun des trois concepteurs.

1977 : développement de l'algo de chiffrement a clef publique par Ron Rivest, Adi Shamir et Leonard Adleman
1982 : fondation par les trois mêmes de RSA Data Security qui deviendra RSA LCC rachetée par EMC en 2006

soultion / contournement proposé pas RSA : https://knowledge.rsasecurity.com

Cr@zy
25/09/2013 à 09:35:17

En effet lauMarot, je parlais bien de RSA Security!

POSTER UN COMMENTAIRE
Captcha
Entrez le code affiché *
Actuellement
visiteur(s) connecté(s)

Nuage de mots clés

Derniers commentaires

Archives

Copyright © 2007-2016 Cr@zy WS v0.954
58 requêtes exécutées en 0.000786 secondes - Page générée en 0.444 secondes
Site optimisé pour le moteur de rendu Gecko : Mozilla Firefox
Accueil · Contact · A propos · S'abonner · Mises à jour · Flux RSS