[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Mise à jour des clé SSH

On Sun, 18 May 2008, Jean Baptiste FAVRE wrote:
> Bonjour,
> Oui, les clefs générées sous Debian avec une version vulnérable
> d'OpenSSL sont à changer et ce quelque soit leur taille.
> 
> Elles ne figurent pas dans la liste des clefs blacklistées car cette
> liste ne contient que les clefs de 1024 et 2048 bits.
> Au-délà, le temps de génération des 32 767 clefs possibles pour toutes
> les tailles devient tout simplement prohibitif (et le paquet serait
> aussi beaucoup plus gros ;-) ).

C'est faux. Le temps n'est pas prohibitif. Les clés de 4906 sont déjà
disponibles en téléchargement, et celles de 8192 peuvent être générées en
quelques jours avec quelques dizaines de serveurs. Elles ont sûrement été
générées par les pirates (mais pas publiées).

Vous n'êtes pas en sécurité avec une clé générée avec le mauvais OpenSSL
quelque soit la taille.

Et le paquet source openssh-blacklist ne génère pas les clés, il contient
une liste pré-calculé d'empreintes des clés compromises, il y aura
sûrement un paquet binaire openssh-blacklist-extra pour les tailles
non-standard:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=481336

A+
-- 
Raphaël Hertzog

Le best-seller français mis à jour pour Debian Etch :
http://www.ouaza.com/livre/admin-debian/
Reply to: