Processeurs livrant les clés de cryptage
teutates
Messages postés
19847
Date d'inscription
Statut
Modérateur
Dernière intervention
-
dubcek Messages postés 18627 Date d'inscription Statut Contributeur Dernière intervention -
dubcek Messages postés 18627 Date d'inscription Statut Contributeur Dernière intervention -
Vous pensez pouvoir faire confiance à la clé de chiffrage 512 Bits que vous possédez ? Perdu ... à priori ! Et non, la clé sera dérobée sans même utiliser la force brute ou une quelconque solution traditionnelle de piratage !
La faute à la conception des processeurs actuels puisque "La sécurité a été sacrifiée au bénéfice de la performance" (dixit le cryptologue allemand Jean-Pierre Seifert (universités d'Haïfa et d'Innsbruck)).
Source :
https://www.lemonde.fr/technologies/article/2006/11/18/les-puces-ne-garantissent-pas-la-securite-des-echanges-en-ligne_835944_651865.html#xtor=EPR-32280155&ens_id=824668
--
Toco y se gausos !!!
Si la matière grise était rose, les gens auraient moins d'idées noires.
La faute à la conception des processeurs actuels puisque "La sécurité a été sacrifiée au bénéfice de la performance" (dixit le cryptologue allemand Jean-Pierre Seifert (universités d'Haïfa et d'Innsbruck)).
Source :
https://www.lemonde.fr/technologies/article/2006/11/18/les-puces-ne-garantissent-pas-la-securite-des-echanges-en-ligne_835944_651865.html#xtor=EPR-32280155&ens_id=824668
--
Toco y se gausos !!!
Si la matière grise était rose, les gens auraient moins d'idées noires.
5 réponses
-
bonjour
En fait ils ont utilisé un peu le même principe que les cambrioleurs de coffre fort qui à l'oreille trouvaient la combinaison en analysant la réaction du processeur.
La seule méthode efficace serait d'utiliser des clés jetables changées à chaque utilisation.
C'est de même pour les rasoirs, c'est les longues utilisations et chers qui se volent le plus dans les magasins : pour une fois, l'opération n'est pas rentable donc non employée. -
Un petit logiciel "taupe" pourrait donc écouter la puce en toute discrétion, et renvoyer la clé à des hackers, à des services de renseignement ou à des espions à la solde de concurrents.
Question: Si un logiciel "taupe" (troyen) est déjà présent sur l'ordinateur, c'est pas plus simple de capturer les frappes clavier ?
Ou de capturer la clé de session en clair dans la mémoire de l'ordinateur (au moment où OpenSSL va l'utiliser) ?
De plus l'attaque étant basé sur le timing d'exécution, étant donnés les délais des réseaux quasi-impossibles à prédire (ethernet, routeurs...), cela rend cette attaque a priori inutilisable à travers internet.
J'ai du mal à saisir l'intéret de cette attaque, ou alors il y a quelquechose que j'ai mal compris.
(Peut-être pour attaquer les puces crypto genre TCPA/Palladium, alors ?) -
Sur le site, on peut lire :
une fois sa méthode dévoilée, début 2007
Ce qui veut dire que la méthode date au plus tard de fin 2006. Ça c’est du scoop !
edit : l’article date du 18 novembre 2006, mais il a été remis à jour hier. Depuis le temps je n’ai entendu parler d’aucun problème de ce type. -
Effectivement, je n'avais pas vu que l'article avait initialement paru en 2006. Donc, c'est n'est plus vraiment une nouveauté ;-/
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
il reste les vielles méthodes
Une victime arnaquée d'un total de 400 000 dollars par du scam