Bienvenue sur CrazyWS !

Newsletter et réseaux sociaux

Pour suivre les dernières news du site, essayez les différents types d'abonnements disponibles et rejoignez-moi sur les réseaux sociaux.

CrazyApps

En dehors des scripts que je développe, il y a le sous-domaine CrazyApps qui est consacré aux applications externes que j'ai pu développer.

Sécurité

Depuis longtemps je m'intéresse à la sécurité informatique où j'effectue des tests d'intrusion, d'audit et d'architecture. A travers mes articles, je vous partage l'essentiel de l'actualité.

Webdev

En ce qui concerne le webdev, je vous propose quelques bouts de code et actus.

Musique

Pour ceux qui aiment la musique electro qui tourne autour du Hardcore, Gabber, Industrial, Goa/Psy, vous pouvez écouter gratuitement mes mixs.

Connexion

connexion auto. à chaque visite
Inscription Mot de passe perdu ?
One is light one is dark...
4 - 8 - 15 - 16 - 23 - 42

RSA réagit sur le choix d'utiliser Dual_EC_DRBG par défaut

24/09/2013 à 13:20
A VOIR AUSSI...
COMMENTAIRES (4)
Guillaume
24/09/2013 à 14:29:54

Que conseilles-tu d'utiliser à la place ?

CrazyMax
24/09/2013 à 20:35:42
+1(1)
Guillaume a dit :
Que conseilles-tu d'utiliser à la place ?

Je ne l'ai pas expliqué dans l'article, mais il suffit de remplacer Q par une valeur aléatoire. Des chercheurs de chez Microsoft expliquent très bien la parade à adopter pour tuer cette backdoor. Des versions de la spécification après la découverte de cette backdoor montrent d'ailleurs (en annexe) comment faire cela.
Le truc le plus embêtant reste la confiance que l'on place en des sociétés comme OpenSSL qui encore aujourd'hui utilisent la valeur par défaut.
Tu as une liste complète des validations pour tout ce qui est software, hardware, firmware, etc... des sociétés utilisant Dual_EC_DRBG.
Bref en gros pour l'instant, Hash_DRBG, HMAC_DRBG, ou CTR_DRBG sont des CSPRNGs non controversés mais Dual_EC_DRBG c'est de la kleptography sauce NSA ;)

lauMarot
24/09/2013 à 21:27:26

"Le RSA (des initiales des trois inventeurs de l'algorithme) ont réagi " => l'article ne commence pas très bien. Pas sur que le profane comprenne le lien entre la société US RSA et le nom de l'algo ustilisant l'initiale du nom de chacun des trois concepteurs.

1977 : développement de l'algo de chiffrement a clef publique par Ron Rivest, Adi Shamir et Leonard Adleman
1982 : fondation par les trois mêmes de RSA Data Security qui deviendra RSA LCC rachetée par EMC en 2006

soultion / contournement proposé pas RSA : https://knowledge.rsasecurity.com

CrazyMax
25/09/2013 à 09:35:17

En effet lauMarot, je parlais bien de RSA Security!

POSTER UN COMMENTAIRE
Captcha
Entrez le code affiché *
Actuellement
visiteur(s) connecté(s)

Nuage de mots clés

Derniers commentaires

Archives

Copyright © 2007-2017 CrazyWS v0.956
59 requêtes exécutées en 0.000802 secondes - Page générée en 0.432 secondes
Site optimisé pour le moteur de rendu Gecko : Mozilla Firefox
Accueil · Contact · S'abonner · Mises à jour · Flux RSS