Re: [Actux] Fwd: [ILUG] serious openssl/openssh hole found

[ Thread Index | Date Index | More lists.tuxfamily.org/actux Archives ]

To: actux@xxxxxxxxxxxxxxxxxxx
Subject: Re: [Actux] Fwd: [ILUG] serious openssl/openssh hole found
From: Frederic Lehobey <Frederic@xxxxxxxxxxx>
Date: Fri, 16 May 2008 17:14:57 +0200

Salut,

dermiste <dermiste@xxxxxxxxx> (2008-05-16 14:56:11) :
> 2008/5/16 David MENTRE <dmentre@xxxxxxxxxxxxxxxx>:

> > Qui plus est, même si on a une clé DSA valide, le fait d'utiliser une
> > clé DSA compromise pour identifier le serveur ouvre une faille qui
> > permet d'exploiter la session ssh en cours.
> >
> >> Encore une fois, beaucoup de bruit pour pas grand chose ...
> >
> > Pas du tout d'accord ! La faille est grave et c'est un problème
> > sérieux, qui touche *énormément* de monde.
> 
> en y réfléchissant un peu, c'est vrai que ca permet aussi de
> bruteforcer le matériel crypto de session généré. Donc de décrypter
> une session enregistrée. Oups, problème.

  Oui. Et même plus précisément : une clef DSA *valide* utilisée sur
un serveur avec le openssl à trop faible entropie est cassée /
cassable si la session a été enregistrée.

  32768 c'est un petit nombre pour de l'aléatoire ou de la crypto.  :-)

Librement,
Frédéric

References:
- [Actux] Fwd: [ILUG] serious openssl/openssh hole found
  - From: Kereoz
- Re: [Actux] Fwd: [ILUG] serious openssl/openssh hole found
  - From: dermiste
- Re: [Actux] Fwd: [ILUG] serious openssl/openssh hole found
  - From: David MENTRE
- Re: [Actux] Fwd: [ILUG] serious openssl/openssh hole found
  - From: dermiste

Messages sorted by: [ date | thread ]
Prev by Date: Re: [Actux] Afev
Next by Date: Re: [Actux] Afev
Previous by thread: Re: [Actux] Fwd: [ILUG] serious openssl/openssh hole found
Next by thread: [Actux] Afev

Mail converted by MHonArc 2.6.19+

http://listengine.tuxfamily.org/