JeuxOnLineForumsPlusConnectés : 657 (sites) | 1218 (forums)Créer un compte
Forums divers
La Taverne
Les forums JOL > Forums divers > La Taverne > La sécurité sur internet : SSL cracke RSS
   
Répondre
Partager Outils Rechercher
Avatar de Mallefica LQCA
Mallefica LQCA
Alpha & Oméga
 
Avatar de Mallefica LQCA
 
Citation:
Provient du message de Serafel
la securite informatique c'est comme les marques de lessives, a chaque generation on nous promet la perfection, a la generation suivante on nous montre qu'on nous a menti Comme quoi rien ne resiste bien longtemps aux crackeurs (qui en l'occurence sont des crackeurs "gentils")
Ne jamais croire qu'une chose est fiable. Jamais.
Lien direct vers le message - Vieux
Avatar de Mothra
Mothra
 
Avatar de Mothra
 
Ca n'est pas assez detaillé pour que je puisse etre categorique, mais j'ai l'impression qu'il s'agit de la decouverte d'une faille dans l'implementation de SSL, et non pas d'une remise en cause du protocole SSL lui meme (qui est apres tout un systeme de signatures RSA et rien d'autre, le protocole est demontré juste tant que RSA est inpossible a decrypter). En gros si j'ai bien lu entre les lignes de la vulgarisation, ils ont trouvé un bug, et l'ont utilisé.
Lien direct vers le message - Vieux
Avatar de Llewellen
Llewellen
Alpha & Oméga
 
Avatar de Llewellen
 
Le but de la sécurité informatique n'est pas d'être incassable, loin de là.

Le but est de demander une puissance machine qui ne sera pas disponible le plus longtemps possible afin de casser l'algorithme.

Car, tout algorithme peut céder à une attaque brute, mais le temps nécessaire est très important.
Lien direct vers le message - Vieux
Avatar de Llewellen
Llewellen
Alpha & Oméga
 
Avatar de Llewellen
 
Citation:
Provient du message de Mothra
Ca n'est pas assez detaillé pour que je puisse etre categorique, mais j'ai l'impression qu'il s'agit de la decouverte d'une faille dans l'implementation de SSL, et non pas d'une remise en cause du protocole SSL lui meme (qui est apres tout un systeme de signatures RSA et rien d'autre, le protocole est demontré juste tant que RSA est inpossible a decrypter). En gros si j'ai bien lu entre les lignes de la vulgarisation, ils ont trouvé un bug, et l'ont utilisé.
Ils ont découvert une faille dans la méthode de padding utilisée lors de l'utilisation de l'algorithme DES CBC afin de compléter le message en un multiple de 8 octets.

Ensuite vient une phase d'attaque sur le serveur cible avec un nombre important de requêtes envoyées, et si on est très proche du serveur cible (en terme de distance informatique), il y a une variation dans le temps de réponse selon que celle-ci est positive ou négative, car le temps de calcul est très légèrement différent (apparemment de moins de 0,1 ms)

Ensuite il y a un traitement de ces données afin de casser la clé.
Lien direct vers le message - Vieux
Avatar de Mothra
Mothra
 
Avatar de Mothra
 
Ok donc c'est bien un bug d'implementation. Cela dit l'attaque est vraiment bien trouvée et astucieuse

Pour revenir a ce que tu disais sur la brute force, la crypto ne garantis meme pas de temps minimal de durée de l'attaque force brute puisqu'avec de la chance tu peux tomber sur la bonne clef du premier coup. C'est tres improbable mais bon des gens gagnent au lotto 4x par semaines
Lien direct vers le message - Vieux
Avatar de Llewellen
Llewellen
Alpha & Oméga
 
Avatar de Llewellen
 
Citation:
Provient du message de Mothra
Ok donc c'est bien un bug d'implementation. Cela dit l'attaque est vraiment bien trouvée et astucieuse

Pour revenir a ce que tu disais sur la brute force, la crypto ne garantis meme pas de temps minimal de durée de l'attaque force brute puisqu'avec de la chance tu peux tomber sur la bonne clef du premier coup. C'est tres improbable mais bon des gens gagnent au lotto 4x par semaines
Les mathématiques (la cryptographie est une branche des mathématiques) ne garantissent qu'un temps moyen pour cracker un algo. Ensuite, c'est vrai que si t'as du bol, tu vas trouver la clé privé RSA 1024 bits du premier coup (t'as jamais que 1/2^1024 chance, mais t'en as une)

D'autre part, les algorithmes pour casser une clé RSA de façon mathématique sont étudiés (en se basant sur la décomposition en nombres premiers), et certaines clés RSA ne sont pas valables, clé faibles ou semi-faibles)

Par contre, pour le DES, c'est une autre affaire, vu que cet algo ne se base pas sur des propriétés mathématiques des nombres premiers comme le RSA.

[Edit]
corrigé pour une erreur de typo
Lien direct vers le message - Vieux
Avatar de Camu
Camu
Alpha & Oméga
 
Avatar de Camu
 
A chaques générations de sécurité ses failles , c'est un défit continu pour les crackeurs de "casser" le neuf
Le système infaillible n'est pas près d'être créer.
Lien direct vers le message - Vieux
Avatar de Llewellen
Llewellen
Alpha & Oméga
 
Avatar de Llewellen
 
La perfection n'est pas de ce monde.

L'essentiel étant que les algorithmes qui nous protègent restent toujours un pas devant ceux qui les cassent.
Lien direct vers le message - Vieux
Avatar de Mothra
Mothra
 
Avatar de Mothra
 
D'autant plus qu'il n'y a toujours aucune demonstration theorique du pourquoi du comment avec la non linearité des boites S DES qui rendent l'algorithme incraquable. L'idée c'est que c'est ca qui rend l'algorithme sur, mais ou est la preuve ?
Lien direct vers le message - Vieux
Avatar de Llewellen
Llewellen
Alpha & Oméga
 
Avatar de Llewellen
 
L'algo DES simple a été cassé, seul le DES triple (avec clé triple ou clé double, enchaînement de 3 DES simple successifs dans une enceinte protégée) reste efficace, et l'AES arrive, il sera bientôt présent et remplacera à terme le DES.
Lien direct vers le message - Vieux
Avatar de Cless Asgard Cpt-blt
Cless Asgard Cpt-blt
Bagnard
 
Avatar de Cless Asgard Cpt-blt
 
clai
Lien direct vers le message - Vieux
Kantziko
 
Citation:
Provient du message de Ulgrim
La meilleure sécurité je pense que c'est la sauvegarde des données sensibles sur un ordi totalement off-line avec accès restreint à quelques utilisateurs.
....

....

....


Mais ouais, bien sûr .... avec un grand "T", comme dans "T'as qu'à croire !" .... tu serais étonné de savoir ce que l'on peut faire en récupérant les ondes électro magnétiques via une antenne en étant à quelques dizaines de mètres du Pc "offline" en question .... bon, maintenant, si tu me précises que ce Pc se situe dans une enceinte confinée et protégée dans les deux sens de toute émission de champ, là, d'accord ...

Un gob
Un gob qui cherche la ptite bête ...
Lien direct vers le message - Vieux
Avatar de Cless Asgard Cpt-blt
Cless Asgard Cpt-blt
Bagnard
 
Avatar de Cless Asgard Cpt-blt
 
Lien direct vers le message - Vieux
Kantziko
 
Citation:
Provient du message de Cless Asgard Cpt-blt
Jeune Padawan, je trouve que vous avez une fâcheuse tendance floodationneuse ce matin ! Allez, ouste .... allez faire quelque chose de plus constructif que ça !
Ah non mais j'vous jure ... les jeunes, de nos jours ...

Un gob
Un gob qui sifflote

Emvé Anovel : Je rappelle à gob mélomane qu'il n'est pas de son devoir de quoter la réponse d'un floodeur mais plutôt de cliquer signaler ce message à un modérateur, comme l'ont fait des posteurs respectueux
Lien direct vers le message - Vieux
Avatar de MrSeb
MrSeb
Alpha & Oméga
 
Avatar de MrSeb
 
Citation:
Provient du message de Llewellen
Les mathématiques (la cryptographie est une branche des mathématiques) ne garantissent qu'un temps moyen pour cracker un algo. Ensuite, c'est vrai que si t'as du bol, tu vas trouver la clé privé RSA 1024 bits du premier coup (t'as jamais que 1/1^1024 chance, mais t'en as une)

1/2^1024, j'imagine. Parce que 1/1^1024, ça fait 1...faute de frappe, le lecteur aura corrigé de lui-même
Lien direct vers le message - Vieux
Répondre
Les forums JOL > Forums divers > La Taverne > La sécurité sur internet : SSL cracke
   

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés

Outils Rechercher
Rechercher:

Recherche avancée

Thème visuel : Fuseau horaire GMT +1. Il est actuellement 13h08.
   

© JeuxOnLine, le site des MMO, MMORPG et MOBA. Tous droits réservés. - Conditions générales d'utilisation - Conditions d'utilisation des forums - Traitement des données personnelles - ! Signaler un contenu illicite