Re: faille openssl debian
[  Nouvelle discussion
|  Répondre au groupe
| 
fr.misc.cryptologie ]
 Sujet: Re: faille openssl debian
 De: ...@nospam.fr (Al)
Groupes: fr.misc.cryptologie
Organisation: les newsgroups par Orange
 Date: 15. May 2008, 21:21:08
References: 1 2 3 4 5
|
Jean-Marc Desperrier a écrit :
> A. Caspis wrote:
> Pour HTTPS le fait que le client ait un certificat ne change rien (Ce
> qui change vraiment quelquechose, c'est que si un protocole DH est
> utilisé, le chiffrement sera de qualité sauf si le serveur ET le client
> ont un chiffrement faible. Firefox avec un apache va utiliser du
> DH/AES256 par défaut, pas IE)
le gros risque c'est que la clé de session soit faible.
je ne sais pas si le générateur aléatoire en cause est utilisé pour la
clé de session
SSL, comme les autres protocoles hybrides, est dépendant de la faiblesse
de la crypto publique, et de la crypto privée... si l'un des 2 est
faible, tout saute.
ainsi si la clé de session est faible, pas besoin de déchiffrer le RSA
ou le DH, il suffit de déchiffrer le DES ou l'AES avec quelques milliers
de clés non aléatoires.
donc, si quelqu'un a mémorisé des flux SSL, il pourra les déchiffrer
|
 cette fonctionnalité est reservée aux membres ayant une session active !
|
Fermer session 
Chargement en cours...
charte
stats
Groupes favoris (
Groupes récents (1)
fr.misc.cryptologie
Pour commencer 
Usenet: c'est quoi? 
Internet
Tous les groupes 
Hiérarchie des Usenets 
fr. Groupes français 
