Connexion
Abonnez-vous

PGP : des clés de signature mimées, GnuPG comble une faille vieille de 18 ans

C'est dans les vieux pots...

PGP : des clés de signature mimées, GnuPG comble une faille vieille de 18 ans

Le 22 août 2016 à 13h01

La semaine dernière, les mauvaises nouvelles se sont accumulées autour de PGP. Plusieurs développeurs du noyau Linux ont constaté que de fausses clés PGP ont été mises en ligne, mimant les identifiants des leurs. De son côté, GnuPG a corrigé un bug de son générateur de nombres aléatoires, vieux de 18 ans.

Alors que le chiffrement semble souvent se résumer à un concours de force, certaines vulnérabilités peuvent facilement permettre de mettre à mal le système. C'est ce qu'a prouvé la semaine dernière une révélation autour des développeurs du noyau Linux et la correction d'une vieille faille dans GnuPG.

Des clés PGP publiques « mimées »

Ainsi, depuis juin, il a été découvert que les clés PGP publiques de plusieurs développeurs du noyau Linux, dont celles de Linus Torvalds et de Greg Kroah-Hartman, ont été mimées. De fausses signatures, créées au plus près des vraies, ont ainsi été forgées. Certaines de ces clés servaient habituellement à signer les mises à jour du noyau Linux, un élément des plus sensibles. Elles ont depuis été révoquées et remplacées par d'autres, plus sûres. Cela même si aucune conséquence concrète n'a été signalée.

Pour mémoire, PGP permet de signer et de chiffrer nombre d'éléments, dont les emails. Avec une clé privée (que seul le propriétaire possède) et une clé publique, chaque message peut être certifié facilement. Mais le système n'est pas parfait. 

Par exemple, la clé PGP publique de votre serviteur est listée en ligne avec l'identifiant « 0x205354a9a507b285 ». Une référence rapide pour une clé de plus de 2 000 caractères. C'est cet identifiant que le rédacteur de ces lignes communiquera pour pointer vers la clé complète, qui servira au correspondant pour signer ou chiffrer un message à son intention.

Un identifiant court... trop court

Le problème est qu'il est possible d'utiliser des identifiants très courts, de 32 bits ou moins (soit environ 8 caractères). Avec une combinaison si courte, il est possible de créer une « collision » entre deux clés. En clair, deux clés publiques peuvent avoir exactement le même identifiant, et ce, assez simplement.

Après avoir créé une clé avec le même identifiant qu'une clé légitime, et en l'utilisant avec des contacts habituels de la victime, il est possible (dans une certaine mesure) de se faire passer pour elle. Aussi, dans le cas où les clés sont mises en ligne sur un registre public, un logiciel qui voudra y récupérer les clés de chiffrement (à partir de l'identifiant court) pourra prendre la mauvaise clé.

De plus, leurs signatures par d'autres clés peuvent elles aussi être mimées. Avec PGP, il est possible de signer la clé de quelqu'un d'autre, pour certifier sa légitimité. Une « toile de confiance » qui fait la force du système. Or, comme le montre ce graphique conçu par Aeris, de nombreuses signatures ont été scrupuleusement reproduites (en haut à droite), créant une confusion d'autant plus forte pour certaines de ces clés.

Le problème de la faiblesse des identifiants de 32 bits ou moins est largement connu. Dès 2011, la communauté Debian alertait à son propos, quand un site Evil32 a récemment été monté pour illustrer le problème. Une « collision » pourrait ainsi être provoquée en quelques secondes, un problème grave pour un tel outil. Selon Greg Kroah-Hartman, les développeurs du noyau Linux n'ont pas été les seuls visés. L'opération aurait concerné 24 000 clés considérées de confiance.

Un autre exemple. Jusqu'en 2014, GnuPG, l'outil de référence pour générer et gérer les clés, ne vérifiait généralement pas celles reçues. Une attaque type homme du milieu ou un DNS menteur, pour mener vers un faux serveur avec une clé disposant du même identifiant, pouvait ainsi conduire à télécharger une clé malicieuse en toute discrétion.

GnuPG règle un problème vieux de 18 ans

Sur un sujet proche, GnuPG voit sa sécurité renforcée. Dans un message publié le 17 août, Werner Koch, l'auteur de GnuPG et Libgcrypt, propose des mises à jour de ses logiciels pour corriger un bug dans le générateur de nombres aléatoires (RNG) de Libgcrypt. Le problème est simple : « un attaquant qui obtient 4 640 bits du générateur peut facilement prédire les 160 bits suivants ».

Ainsi, GnuPG 1.4.21 et Libgcrypt 1.7.3, 1.6.6 et 1.5.6 pour GnuPG- 2 corrigent cette vulnérabilité, présente depuis les débuts de l'outil il y a de cela 18 ans. Pour le moment, les clés générées avec le logiciel ne semblent pas être à risque. « Une première analyse sur l'impact de ce bug dans GnuPG montre que les clés RSA existantes ne sont pas affaiblies » estime Werner Koch. Un impact semble aussi peu probable sur les clés DSA et Elgamal, estime-t-il. Il invite donc à ne pas révoquer ses clés trop hâtivement.

Pour mémoire, GnuPG est l'un de ces projets open source largement utilisés, mais peu soutenus financièrement. Il a fallu largement médiatiser les difficultés financières de Werner Koch. Les dons avaient afflué, de la part de particuliers et d'entreprises, dont Facebook qui a implémenté GnuPG par la suite dans sa messagerie.

Commentaires (70)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

un attaquant qui obtient 4 640 bits du générateur peut facilement prédire les 160 bits suivants On est quand meme loin d’une faille catastrophique…

votre avatar







RRMX a écrit :



un attaquant qui obtient 4 640 bits du générateur peut facilement prédire les 160 bits suivants On est quand meme loin d’une faille catastrophique…





C’est toujours pareil, ça dépend d’où est utilisé le logiciel et dans quel contexte.



En tous cas, la faille de 18 ans, elle tire vers les plus longues a être découverte et corrigée.



Le problème de signature est nettement plus ennuyeux cela dit.


votre avatar

C’est le problème du libre ça. Comme le source est disponible les failles sont visibles facilement.

En gros c’est comme si une banque installait un super système de sécurité mais laissait les plans sur internet.

N’importe qui qui travaille dans la sécurité sait que le secret est primordial.

Donc il ne faut jamais utiliser du libre quand on veut faire de la sécurité à cause du manque de secret, ce qui s’applique à la vie réelle s’applique aussi à l’informatique.

votre avatar

On est pas vendredi ! <img data-src=" />

votre avatar

<img data-src=" />

votre avatar
votre avatar

Bravo pour la comparaison complètement foireuse. Un must je dois dire!

votre avatar

C’est pour cela que tu utilises ce pseudo ! Bien vu !

Comme ça, on ne peut pas dire qui tu es.

votre avatar

Désolé, je ne peux résister à répondre à quelqu’un qui est aussi intelligent qu’Ulysse qui disait au Cyclope qu’il s’appelait Nemo.

À propos, ce soir, est diffusé “Mon nom est Personne” sur France 3.

votre avatar

Mimées ?<img data-src=" />



J’aurais préféré “contre-façonnées”<img data-src=" />

votre avatar







2show7 a écrit :



Mimées ?<img data-src=" />



J’aurais préféré “contre-façonnées”<img data-src=" />







Si seulement on avait un mot en français pour çà… comme contrefaçon <img data-src=" />


votre avatar







2show7 a écrit :



Mimées ?<img data-src=" />



J’aurais préféré “contre-façonnées”





si la signature a le visage tartiné à la porcelana et des gants blancs*, ça passe <img data-src=" />



(* et qu’on peut leur dire “barrez-vous cours de…” en courant après quelqu’un aussi)







CryoGen a écrit :



Si seulement on avait un mot en français pour çà… comme contrefaçon <img data-src=" />





tu as mal écrit “vol”, ce me semble :rogard:


votre avatar







darkbeast a écrit :



“pgp un truc de terroristes” @ casevieille





PGP sert à signer non ? Il ne chiffre pas.

C’est le chiffrement qui est utilisé par les terroristes, faut pas confondre, ce serait faux <img data-src=" />

&nbsp;


votre avatar







l’auteur a écrit :



Pour mémoire, PGP permet de signer et de chiffrer nombre d’éléments, dont les emails.





<img data-src=" />


votre avatar

PGP permet de faire les deux (peut être pas avec les même clef cela dit)



edit: grillé

votre avatar







Obidoub a écrit :



PGP sert à signer non ? Il ne chiffre pas.

C’est le chiffrement qui est utilisé par les terroristes, faut pas confondre, ce serait faux <img data-src=" />

&nbsp;





ça empêche que tes mails soient lisiblement à tout le monde, si tu l’utilises, t’es un terroriste nan mais ho


votre avatar

PGP peut forger un certificat qui sert a signer ou a chiffrer.

Edit : double BBqed.

votre avatar

J’ai pas voulut faire du troll … désolé !

Au pire un peu de feed, mais simplement pour démontrer sa bêtise… et je ne pense pas être le seul…

Bref, j’ai l’impression que le courant passe mal en ce moment avec le communauté de NextImpact … pas grave … j’ai pourtant l’impression de partager pas mal les idées générales de celle-ci…&nbsp;

votre avatar

Les hippies sont pas acceptés ici <img data-src=" />



<img data-src=" />

votre avatar







J@ckHerror a écrit :



Bref, j’ai l’impression que le courant passe mal en ce moment avec le communauté de NextImpact … pas grave … j’ai pourtant l’impression de partager pas mal les idées générales de celle-ci…







Disons que vu que la 1ere page est déjà pourrie par le troll (pèche à la dynamite pourtant), il aurait mieux valu s’abstenir de continuer à tomber dedans <img data-src=" />


votre avatar

Ah merci ! Ceci explique donc cela !&nbsp;

C’est donc un pur délit de faciès … j’accepte !

votre avatar

J’ai mis à jour l’article avec une mention des signatures de clés mimées/contrefaites. En plus d’avoir “reproduit” un bon nombre de clés, les gens derrière cette petite opération ont soigné les détails en refaisant certaines signatures entre elles. Merci à Aeris pour le signalement. <img data-src=" />

votre avatar

Il faut donc relire l’article ?

votre avatar

Oui, sinon tu passes à côté du vrai problème :P Le short-id tout seul est connu depuis des lustres.

votre avatar







linconnu a écrit :



C’est le problème du libre ça. Comme le source est disponible les failles sont visibles facilement.&nbsp;





Te voilà démasqué JVachez !&nbsp;De nouveaux web-awards depuis le temps ?


votre avatar

“pgp un truc de terroristes” @ casevieille

votre avatar







linconnu a écrit :



C’est le problème du libre ça. Comme le source est disponible les failles sont visibles facilement.

En gros c’est comme si une banque installait un super système de sécurité mais laissait les plans sur internet.

N’importe qui qui travaille dans la sécurité sait que le secret est primordial.

Donc il ne faut jamais utiliser du libre quand on veut faire de la sécurité à cause du manque de secret, ce qui s’applique à la vie réelle s’applique aussi à l’informatique.





Vade Retro JVachezas !! † † <img data-src=" />



edit : fort naturellement grillé <img data-src=" />


votre avatar







WereWindle a écrit :



Vade Retro JVachezas !! † † <img data-src=" />





Bah le problème c’est qu’il a laissé tellement d’ectoplasme un peu partout sur la toile (Nxi, Alsacreation, BashFr…), qu’aujourd’hui il revient posséder d’autres internautes.


votre avatar







linconnu a écrit :



C’est le problème du libre ça. Comme le source est disponible les failles sont visibles facilement.

En gros c’est comme si une banque installait un super système de sécurité mais laissait les plans sur internet.

N’importe qui qui travaille dans la sécurité sait que le secret est primordial.

Donc il ne faut jamais utiliser du libre quand on veut faire de la sécurité à cause du manque de secret, ce qui s’applique à la vie réelle s’applique aussi à l’informatique.





Dans le monde privateur, cette faille n’aurait jamais été détectée, faute de relecteur/auditeur.

Et jamais publiée si elle l’avait quand même été.

Et sûrement jamais patchée si elle n’avait pas été publiée.



&nbsp;Ça n’aurait pas empéché les petits malins de s’en servir.

&nbsp;Les failles 0-days, c’est bien connu que ça n’existe pas…


votre avatar

Oh boy. Ça a mordu.

votre avatar







linconnu a écrit :



C’est le problème du libre ça. Comme le source est disponible les failles sont visibles facilement.

En gros c’est comme si une banque installait un super système de sécurité mais laissait les plans sur internet.

N’importe qui qui travaille dans la sécurité sait que le secret est primordial.

Donc il ne faut jamais utiliser du libre quand on veut faire de la sécurité à cause du manque de secret, ce qui s’applique à la vie réelle s’applique aussi à l’informatique.





Edit : En fait je vais éviter de feed&nbsp;<img data-src=" />


votre avatar

sérieux? t’as répondu à ça? <img data-src=" />

<img data-src=" />

votre avatar

réflexe conditionné, je pense <img data-src=" />

votre avatar

eh ben ça mord aujourd’hui. <img data-src=" />

votre avatar

Don’t feed the troll. ;)



Edit : <img data-src=" />

votre avatar

post édité à moitié pardonné. <img data-src=" />

votre avatar







hellmut a écrit :



post édité à moitié pardonné. <img data-src=" />





mais l’autre moitié se paie double <img data-src=" />


votre avatar







Ellierys a écrit :



Oh boy. Ça a mordu.







<img data-src=" />

&nbsp;<img data-src=" />


votre avatar







linconnu a écrit :



C’est le problème du libre ça. Comme le source est disponible les failles sont visibles facilement.

En gros c’est comme si une banque installait un super système de sécurité mais laissait les plans sur internet.

N’importe qui qui travaille dans la sécurité sait que le secret est primordial.

Donc il ne faut jamais utiliser du libre quand on veut faire de la sécurité à cause du manque de secret, ce qui s’applique à la vie réelle s’applique aussi à l’informatique.





C’est vrai iOS et windows n’ont connu aucune faille 0-day et n’en connaitront jamais ….&nbsp;

Je mets les liens ou si tu sais chercher des infos par toi même ?



J@ck.


votre avatar







J@ckHerror a écrit :



C’est vrai iOS et windows n’ont connu aucune faille 0-day et n’en connaitront jamais ….&nbsp;

Je mets les liens ou si tu sais chercher des infos par toi même ?



J@ck.





Et de deux !


votre avatar

Rajoute aussi qu’il y a une volonté de recréer l’emprunte par captation de messages “legit” envoyés aux serveurs : le cassage du certif ne se fait pas par brute force mais par compilation de réponses.

La volonté n’étant pas plus de casser que d’avoir une emprunte valide durable dans le système.



Pour la puissance de calcul, elle est toute relative, ça fait un certain temps que les puces AMD sont devenues très bonnes pour faire ce genre d’opérations sha/ash + guess, restait qu’a monter un POC pour montrer que PGP était faillible de la sorte sur certaines configs.

Se qui m’étonne, c’est le nombre de bits nécessaires relativement faible pour reforger une clé valide, ça veux dire que derrière reforger une empreinte complète devient possible en relativement peu de temps. :/

votre avatar

Ça pêche a la dynamite par ici.

votre avatar







KissFC a écrit :



Rajoute aussi qu’il y a une volonté de recréer l’emprunte par captation de messages “legit” envoyés aux serveurs : le cassage du certif ne se fait pas par brute force mais par compilation de réponses.

La volonté n’étant pas plus de casser que d’avoir une emprunte valide durable dans le système.



Pour la puissance de calcul, elle est toute relative, ça fait un certain temps que les puces AMD sont devenues très bonnes pour faire ce genre d’opérations sha/ash + guess, restait qu’a monter un POC pour montrer que PGP était faillible de la sorte sur certaines configs.

Se qui m’étonne, c’est le nombre de bits nécessaires relativement faible pour reforger une clé valide, ça veux dire que derrière reforger une empreinte complète devient possible en relativement peu de temps. :/





&nbsp;Euh… E_TOO_MUCH_NO_SENSE



1- Je ne vois pas où il y a la moindre interception de message « legit »…

Il suffit d’utiliser un annuaire de clef pour trouver celle qu’on veut cibler, puis générer une collision de short-ID, puis itérer sur les signatures, etc

Et l’attaque est par bruteforce (il n’y a pas d’autre moyen de collisionner un ID de toute façon).



2- Les puces ont beau être effectivement très efficace pour faire du calcul de hash, aucune ne l’est pour générer rapidement des clefs RSA de 2048 bits comme celles collisionnées, qui est basé sur de la recherche de nombres premiers aléatoires (processus non accélérable, il faut bruteforcer pour trouver de tels nombres…).

Les meilleurs CPU ne génèrent que quelques centaines de clefs GPG par seconde.



3- Un short ID fait 8 octets hexadécimaux soit 20 bits de sécurité. Ça se casse donc en « seulement » 4 milliards de tentative. C’est ridiculement petit en terme de crypto (on conseille actuellement au moins 128 bits de sécurité).

Ramené à la centaine de clefs par seconde, ça donne quand même une 50aine de jour de calcul pour collisionner une clef…

Pour générer le faux graph de Torvald, ça a donc été l’équivalent d’années de calcul qu’il a fallu paralléliser massivement (donc avoir accès à des ressources importantes) pour arriver à collisionner autant.


votre avatar

Question: À qui profite le crime la faille ?

Vu la débauche de moyens mis en œuvre c’est pas Jean-Paul dans sa cave de geek qui fait ça… <img data-src=" />

votre avatar







edrin17 a écrit :



Question: À qui profite le crime la faille ?

Vu la débauche de moyens mis en œuvre c’est pas Jean-Paul dans sa cave de geek qui fait ça… <img data-src=" />





La question à 10 balles…



&nbsp;Surtout que cette faille est connue depuis 2011 et que toute personne faisant de la crypto a depuis longtemps désactivé les short-ID… Et donc seul un nœud-nœud pourrait se laisser berner.



Reste les logiciels mal configurés par défaut, qui pouvaient du coup récupérer la mauvaise clef auprès des serveurs de clef quand on précisait le short-ID (par exemple lors du rafraîchissement de la clef correcte).

Je me suis personnellement fait avoir sur ce cas-là.



&nbsp;Mais les fausses clefs étant et révoquées et non utilisables (elles ne permettent pas le chiffrement), elles n’étaient pas réellement dangereuses. Un proof-of-concept à taille réelle peut-être ?


votre avatar

Haaaa, une niouze qui a une semaine. Je l’attendais.<img data-src=" />

votre avatar







fred42 a écrit :



Il faut donc relire l’article ?





Feignasse.<img data-src=" />


votre avatar

Merci du compliment, parce que c’en est un pour moi. <img data-src=" />

votre avatar

“Un autre exemple.&nbsp;Jusqu’en 2014,&nbsp;GnuPG, l’outil de référence pour générer et gérer les clés, ne vérifiait généralement pas celles reçues. Une attaque type homme du milieu ou un DNS menteur, pour mener vers un faux serveur avec une clé disposant du même identifiant,&nbsp;pouvait ainsi conduire&nbsp;à télécharger une clé malicieuse en toute discrétion.“Tu récupère bien des clés legit dans ce cas. Il suffit d’une clé forgée par collision “faible” dans la chaîne de confiance et toutes les autres tombent en cascade. Il n’y a pas bruteforce =&gt; tu reforge le certificat racine a la suite. Tu collisione pas toutes les clés, juste une suffit : comme dit au dessus tu reproduis ensuite le certificat racine.

votre avatar







KissFC a écrit :



Il n’y a pas bruteforce =&gt; tu reforge le certificat racine a la suite. Tu collisione pas toutes les clés, juste une suffit : comme dit au dessus tu reproduis ensuite le certificat racine.&nbsp;





Il n’y a justement PAS de certificat racine sous GPG. Et récupérer une clef compromise ne compromet pas l’ensemble de la chaîne.



Pour la faille de 2014, le problème est beaucoup plus complexe que tu ne le penses.

Les serveurs de clef ne supportent que les short ou long ID pour récupérer une clef.

Si tu demandais à télécharger une clef à partir de son empreinte complète (par exemple 0x6A68B76126297666 ECF48F03EFB74277ECE4E222), GPG faisait l’accès en réalité par le short ou long ID (selon ta configuration). Ici il réclamait donc la clef 0xEFB74277ECE4E222 ou 0xECE4E222.

Mais il ne vérifiait pas en retour que la clef téléchargée correspondait réellement à l’empreinte complète (cas d’une clef collisionnée).



Les seules personnes vulnérables étaient donc les personnes récupérants leurs clefs en spécifiant une empreinte complète ET qui n’avaient pas configuré leur GPG pour utiliser les long-ID (une collision sur le long-ID (64 bits) est improbable à l’heure actuelle) ET qui ne vérifiaient pas l’empreinte manuellement par la suite (toute signature devrait impliquer la vérification manuelle de l’empreinte complète).

Et en plus pour être exploitable, l’attaquant doit être en mesure de pouvoir intercepter les communications entre les 2 correspondants (et pas que d’un seul côté, sinon le récepteur recevra un message chiffré par la mauvaise clef, donc ne pourra pas le lire, donc détectera l’attaque).



Et même si tu récupérais une mauvaise clef, tout le reste de ton porte-feuille reste 100% safe puisqu’il n’y a pas de racine (l’intérêt de GPG par rapport à X.509/TLS).



Bref, certes c’est une erreur de GPG, mais ça n’était pas exploitable en pratique.


votre avatar

Je suis loin d’être expert, mais le problème c’est pas tout simplement les short-ID ?



Je vois ça comme si je choisissais un mot de passe long et compliqué pour une bonne sécurité, mais vu que c’est pas pratique à utiliser j’utilise un gestionnaire de mot de passe avec un mot de passe global qui ne casse pas trois pattes à un canard…

C’est assez stupide, non ?

votre avatar

Merci pour ces détails et les suivants.

votre avatar







Mihashi a écrit :



Je suis loin d’être expert, mais le problème c’est pas tout simplement les short-ID ? &nbsp;



&nbsp;

C’est exactement ça. Les short-ID c’est le mal.

Et suite au mirroring plus profond de certaines clefs, c’est devenu doublement plus le mal :P


votre avatar

Moralité, plus c’est long, plus c’est bon… <img data-src=" />

votre avatar

Juste le troisième paragraphe de la troisième partie, le reste ne bouge pas. C’est un simple ajout.

votre avatar







J@ckHerror a écrit :



J’ai pas voulut faire du troll … désolé !



 Au pire un peu de feed, mais simplement pour démontrer sa bêtise... et je ne pense pas être le seul...       

Bref, j'ai l'impression que le courant passe mal en ce moment avec le communauté de NextImpact ... pas grave ... j'ai pourtant l'impression de partager pas mal les idées générales de celle-ci...&nbsp;







De deux… “victimes” ;)



N’empêche le principal intéressé ne s’est même pas manifesté pour poser d’autres pièges. :‘(

Y a même pas eu de swordage en règle pour “Troll ou incitation au troll”. :’(


votre avatar

Oui, merc, j’ai vu l’ajout. Par contre, mon écran n’est pas assez grand pour visualiser le graphique. Je dois zoomer et me déplacer. <img data-src=" />

votre avatar

La même ici, du coup je joue au Christophe Colomb des signatures PGP.&nbsp;<img data-src=" />

votre avatar

Merci de me rassurer&nbsp;<img data-src=" />&nbsp;!&nbsp;



On est pas dredi n’ont plus … mais vu comment commence la semaine je suis iNpatient (promis, plus de feed de ma part&nbsp;<img data-src=" />)



&nbsp;

votre avatar

Au vu du pseudo c’était facile <img data-src=" />

votre avatar

Au vu du pseudo c’était facile pour un hippi&nbsp;<img data-src=" />



Parce que bon c’est pas non plus l’évidence pour non averti&nbsp;<img data-src=" />

&nbsp;

votre avatar

C’était pour vous démasquer :)

votre avatar

Il a tout autant de mérite à être connu que certaines personnes actuellement (voir même plus que certaines) <img data-src=" />

votre avatar

J’ai ajouté des couleurs histoire de pouvoir distinguer les clefs collisionnées (même short-ID = même couleur (mais la réciproque est fausse :P))

votre avatar

&nbsp; Elle est sensée, cette réflexion,&nbsp; et plein de bon sens. Mais de l’autre côté, on peut passer à côté d’un trou béant sans le voir. Pas assez de yeux pour le voir ou ceux-ci rivés ailleurs.

votre avatar

Je comprend pas trop la première faille. C’est davantage une faille d’un site qui collecte les clés publiques plutôt que de PGP lui-même, non ?

votre avatar

Merci à ceux qui ont travaillé, ceux qui y travaille encore, ceux qui viendront s’ajouter dans le futur et aux donateurs qui sans eux le produit risque d’avancer lentement. Unissons nos forces pour avancer plus vite et plus surement.

Vive le libre!

votre avatar

et windows est reconnu pour être une passoire de sécurité <img data-src=" />

votre avatar

Au moins tu nous as fait rigoler ! <img data-src=" />

votre avatar







le podoclaste a écrit :



Je comprend pas trop la première faille. C’est davantage une faille d’un site qui collecte les clés publiques plutôt que de PGP lui-même, non ?





Non. Le problème vient que des personnes s’amusent à générer des clefs dont l’ID court sur 8 octets est le même.

Par exemple la vraie clef de Torvald est 0x79BE3E4300411886, et la fausse 0x6211AA3B00411886 (même short-ID 0x00411886).

Cette « faille » n’est pas nouvelle. Voir par exemplehttp://www.asheesh.org/note/debian/short-key-ids-are-bad-news.html qui date de 2011.



Là où est la nouveauté, c’est qu’un attaquant s’amuse à générer un ensemble de fausses clefs et à recréer la chaîne de certifications des vraies clefs.

Par exemple, Torvald (0x79BE3E4300411886) est signé par Alan Cox (0x7EEBC095B516BAEF), et l’attaquant recrée cette chaîne avec un faux Torvald (0x6211AA3B00411886, même short-ID 0x00411886) signé par un faux Cox (0xD8C912C0B516BAEF, même short-ID 0xB516BAEF).

Et ceci sur des centaines de clefs reliées les unes aux autres.



Tu peux donc te faire doublement avoir maintenant :




  • si tu t’arrêtes sur la comparaison du short-ID

  • si tu vérifies en plus la chaîne de confiance



    Bref, short-ID c’est cassé (depuis 2011) et on passe aux long-ID (16 octets) voire aux empreintes complètes (40 octets).



    Cryptographiquement parlant, il n’y a donc rien de neuf. Mais là, ça montre une réelle volontée de nuire (mirrorer des centaines de signatures comme ça, ça demande une puissance de calcul relativement importante).


PGP : des clés de signature mimées, GnuPG comble une faille vieille de 18 ans

  • Des clés PGP publiques « mimées »

  • Un identifiant court... trop court

  • GnuPG règle un problème vieux de 18 ans

Fermer