Re: faille openssl debian

Erwan David wrote:
> Il y a aussi les partitions chiffrées : dm-crypt ou encfs utilisent-ils
> openssl ?

Les vieux outils à base de passphrase + hash + algo symétrique
ne doivent pas être concernés puisqu'ils n'utilisent pas d'aléa.

Les nouveaux qui génèrent une clé aléatoire et la stockent sur
disque, protégée par un mot de passe, pourraient être affectés.

Concernant dm-crypt, il semble qu'on ait de la chance parce que
les utilitaires sont conçus pour lire la clé depuis /dev/random
plutôt que pour la générer eux-mêmes.

http://wiki.debian.org/SSLkeys
> The following cryptographic tools are unaffected:
> * cryptsetup (neither LUKS nor the regular dm-crypt use openssl,
>   the openssl keyscript - which is not used in any default
>   installations - does use openssl, but only to encrypt the key,
>   not to actually generate the key that is used to encrypt the
>   partition, the encryption of the key may therefore be less strong
>   than expected but the key itself is not)

Et encore la dernière phrase ci-dessus me semble superflue:
soit la clé est mal protégée, et on peut la récupérer même si elle
n'est pas affaiblie; soit elle est chiffrée normalement (et il n'y
a pas de raison que ça fasse appel à un RNG) et tout va bien.

AC