2008/5/14 Alexandre Franke <[EMAIL PROTECTED]>: > 2008/5/14 Jerome Pansanel <[EMAIL PROTECTED]>: > > Une alerte a été publiée sur le site de Debian concernant les clés > générées > > avec OpenSSL. En effet, suite à un problème dans la génération de nombres > > aléatoires, les clés créées depuis 2006 comportent une faille de sécurité > > jugée critique. > > Pour être plus précis, il s'agit d'une faille introduite par un patch > debian (qui avait pour but d'enlever une erreur sous Valgrind, un > profileur) et les clés défaillantes ne sont donc que celles générées > sur un système debian ou dérivé. Toutefois si une telle clé est sur un > autre système, elle peut le mettre en danger. >
Ce que je ne comprends pas par contre, c'est pourquoi la suppression de l'erreur sous valgrind entraîne tous ces pbs. Naïvement, j'avais pensé qu'il suffisait de lire dans /dev/[u]random pour générer de l'entropie, plutôt que de se baser sur l'état plus ou moins initialisé de la mémoire ? Et comme lire depuis un fichier, ça initialise tout de même de façon déterministe (enfin, du point de vue du processus), valgrind ne devrait pas râler. -- Steve Schnepp <[EMAIL PROTECTED]> http://snide.free.fr/
