Processeurs livrant les clés de cryptage
teutates
Messages postés
19624
Date d'inscription
Statut
Modérateur
Dernière intervention
-
dubcek Messages postés 18789 Date d'inscription Statut Contributeur Dernière intervention -
dubcek Messages postés 18789 Date d'inscription Statut Contributeur Dernière intervention -
Vous pensez pouvoir faire confiance à la clé de chiffrage 512 Bits que vous possédez ? Perdu ... à priori ! Et non, la clé sera dérobée sans même utiliser la force brute ou une quelconque solution traditionnelle de piratage !
La faute à la conception des processeurs actuels puisque "La sécurité a été sacrifiée au bénéfice de la performance" (dixit le cryptologue allemand Jean-Pierre Seifert (universités d'Haïfa et d'Innsbruck)).
Source :
https://www.lemonde.fr/technologies/article/2006/11/18/les-puces-ne-garantissent-pas-la-securite-des-echanges-en-ligne_835944_651865.html#xtor=EPR-32280155&ens_id=824668
La faute à la conception des processeurs actuels puisque "La sécurité a été sacrifiée au bénéfice de la performance" (dixit le cryptologue allemand Jean-Pierre Seifert (universités d'Haïfa et d'Innsbruck)).
Source :
https://www.lemonde.fr/technologies/article/2006/11/18/les-puces-ne-garantissent-pas-la-securite-des-echanges-en-ligne_835944_651865.html#xtor=EPR-32280155&ens_id=824668
A voir également:
- Processeurs livrant les clés de cryptage
- Clé de produit windows 10 gratuit - Guide
- Trousseau de clés iphone - Guide
- Clés word - Télécharger - Sécurité
- Clé de registre - Guide
- Télécharger livre de lecture ce2 gratuit pdf - Télécharger - Éducatifs
5 réponses
bonjour
En fait ils ont utilisé un peu le même principe que les cambrioleurs de coffre fort qui à l'oreille trouvaient la combinaison en analysant la réaction du processeur.
La seule méthode efficace serait d'utiliser des clés jetables changées à chaque utilisation.
C'est de même pour les rasoirs, c'est les longues utilisations et chers qui se volent le plus dans les magasins : pour une fois, l'opération n'est pas rentable donc non employée.
En fait ils ont utilisé un peu le même principe que les cambrioleurs de coffre fort qui à l'oreille trouvaient la combinaison en analysant la réaction du processeur.
La seule méthode efficace serait d'utiliser des clés jetables changées à chaque utilisation.
C'est de même pour les rasoirs, c'est les longues utilisations et chers qui se volent le plus dans les magasins : pour une fois, l'opération n'est pas rentable donc non employée.
Un petit logiciel "taupe" pourrait donc écouter la puce en toute discrétion, et renvoyer la clé à des hackers, à des services de renseignement ou à des espions à la solde de concurrents.
Question: Si un logiciel "taupe" (troyen) est déjà présent sur l'ordinateur, c'est pas plus simple de capturer les frappes clavier ?
Ou de capturer la clé de session en clair dans la mémoire de l'ordinateur (au moment où OpenSSL va l'utiliser) ?
De plus l'attaque étant basé sur le timing d'exécution, étant donnés les délais des réseaux quasi-impossibles à prédire (ethernet, routeurs...), cela rend cette attaque a priori inutilisable à travers internet.
J'ai du mal à saisir l'intéret de cette attaque, ou alors il y a quelquechose que j'ai mal compris.
(Peut-être pour attaquer les puces crypto genre TCPA/Palladium, alors ?)
Question: Si un logiciel "taupe" (troyen) est déjà présent sur l'ordinateur, c'est pas plus simple de capturer les frappes clavier ?
Ou de capturer la clé de session en clair dans la mémoire de l'ordinateur (au moment où OpenSSL va l'utiliser) ?
De plus l'attaque étant basé sur le timing d'exécution, étant donnés les délais des réseaux quasi-impossibles à prédire (ethernet, routeurs...), cela rend cette attaque a priori inutilisable à travers internet.
J'ai du mal à saisir l'intéret de cette attaque, ou alors il y a quelquechose que j'ai mal compris.
(Peut-être pour attaquer les puces crypto genre TCPA/Palladium, alors ?)
Sur le site, on peut lire :
Ce qui veut dire que la méthode date au plus tard de fin 2006. Ça c’est du scoop !
edit : l’article date du 18 novembre 2006, mais il a été remis à jour hier. Depuis le temps je n’ai entendu parler d’aucun problème de ce type.
une fois sa méthode dévoilée, début 2007
Ce qui veut dire que la méthode date au plus tard de fin 2006. Ça c’est du scoop !
edit : l’article date du 18 novembre 2006, mais il a été remis à jour hier. Depuis le temps je n’ai entendu parler d’aucun problème de ce type.
Effectivement, je n'avais pas vu que l'article avait initialement paru en 2006. Donc, c'est n'est plus vraiment une nouveauté ;-/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question