Re: Données en clair dans openssh ?
Sébastien NOBILI, vendredi 21 novembre 2008, 13:59:07 CET
>
> Le jeudi 20 novembre 08 à 10:26, David Prévot a écrit :
>
> Bonjour,
’jour,
> | Je ne suis pas expert en sécurité, j'ai posté ma recette sur
> la liste | autant pour la valider qu'en discuter...
>
> Apparemment la recette a été validée sur le rapport de bogue :
> http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=506115#22
Je ne dirais pas que ce n’était pas un problème, m’enfin
quand on lit :
« an attack that can recover 14 bits of plaintext with a
success probability of 2^-14, though we suspect this
underestimates the work required by a practical attack. »
(traduction rapide :
« une attaque qui peut découvrir 14 bits de texte avec une
probabilité de succès de 2⁻¹⁴, bien que nous suspections
que cela sous-estimes le travail requis pour une attaque
réelle. »)
donc :
— seulement 14 bits de données en clair, même pas 2 octets ;
— une proba de 2⁻¹⁴, soit une chance sur 16384 ;
— proba en théorie, une procédure d’attaque réelle serait
encore plus difficile ;
on se dit que ce n’est pas super-grave quand même, surtout
qu’ajouter (oui, je le remets, ça enfonce le clou :o)
Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc
dans son /etc/ssh/sshd_config suffit à éviter le risque.
--
Sylvain Sauvage
Reply to: