Chiffrement : faiblesse dans RSA

Le par  |  2 commentaire(s)
HTTPS Everywhere

Une équipe de chercheurs découvre une faiblesse dans le système de chiffrement RSA.

L'algorithme RSA ( Rivest Shamir Adleman ) est un système à clé publique pour l'échange d'informations confidentielles. La plupart des certificats SSL s'appuient sur cet algorithme RSA. Une paire de clés est créée, une publique pour chiffrer et l'autre privée pour déchiffrer.

Une équipe de mathématiciens et cryptographes a découvert que les clés publiques utilisées pour la protection HTTPS se sont pas si fiables que l'on aurait pu le croire. Le point faible se situe au niveau de la génération aléatoire des clés avec RSA.

Les chercheurs ont examiné une base de données de 7,1 millions de clés publiques utilisées pour la sécurisation d'échanges emails, de transactions bancaires en ligne et d'autres échanges. Il ont constaté que pour un petit pourcentage de ces clés, il n'y avait pas véritablement de caractère aléatoire et dès lors prédictible.

HTTPS EverywhereResponsable de l'étude et professeur à l'École Polytechnique Fédérale de Lausanne en Suisse, Arjen K. Lenstra a déclaré : " certaines personnes peuvent penser que 99,8 % de sécurité c'est très bien. Cela veut néanmoins dire qu'approximativement deux clés sur mille ne seraient pas sûres. "

L'Electronic Frontier Foundation tire la sonnette d'alarme et considère les implications " extrêmement graves " pour la sécurisation des échanges de données. Pour ajouter à la psychose, un deuxième travail de recherche vient de faire surface sur le même problème et la compromission de 0,4 % des clés publiques utilisées pour SSL.

The Register note des divergences entre les deux études : " un groupe reconnaît que le problème affecte les serveurs Web, alors que le second reconnaît qu'il est presque entièrement confiné aux dispositifs embarqués ( routeurs, dispositifs VPN ). "

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #909181
Dommage qu'ils ne précisent pas ce qu'on risque avec une clé un peu plus grosse que les classiques 1024 et 2048 bits. Genre, est-ce que sur une clé de 10240 bits le problème se pose autant ou devient négligeable.
Le #909611
Les US n'auraient jamais laissé se faire une clé incracable...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]