Salut 'nal,
Ça fait quelque jour que l'info a circulé, ayant fournit une série de reprises dans beaucoup de magasines, blogs etc.: une équipe de chercheurs aurait réussit à extraire une clé RSA en "écoutant" les bruits du CPU et en les analysant. Une recherche sur votre moteur préféré devrait vous en filer une bonne liste.
Le papier publié est disponible ici: http://www.cs.tau.ac.il/~tromer/acoustic/
Je sais pas pourquoi, ça me bloque un peu:
- Tout d'abord, un cas pratique: la majorité des OS sont multi-tâche, ce qui nécessite de savoir quand il y a un switch entre processus;
- Secundo, il me semble que parce que les CPU varient sur le nombre de transistors présents, et la façon dont ils sont agencé fait que le son devrait varier, puiqu'ils se basent sur les sons émis par les composants du CPU.
- Tierco, quid des parasites etc.?
Fin' voilà, je sais pas ce que vous en pensez
# Données forgées pour
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 7.
Et c'est une attaque qui nécessite que la victime déchiffre des données spécialement forgées pour cela. Ça limite un peu le champ.
[^] # Re: Données forgées pour
Posté par tatrefthekiller . Évalué à 4.
Dans le dernier cours de crypto que j'ai suivi, j'ai appris que justement c'est une faille assez sérieuse (si mes souvenirs sont bons…)
Au final c'est assez simple de "forcer" quelqu'un à déchiffrer/chiffrer un message précis (ou avec certains octets précis). Par exemple : je t'envoie un mail, je te force donc à déchiffrer l'intégralité de mon mail. Avec un peu de chance, tu vas me répondre, et je saurai que ton message contient "RCPT TO…" entre autres.
http://en.wikipedia.org/wiki/Chosen-plaintext_attack
[^] # Re: Données forgées pour
Posté par oinkoink_daotter . Évalué à 2.
Euh, non.
RCPT TO, c'est dans la nego SMTP, pas dans le corps du mail. Dans le mail c'est "To:" (et en plus cette partie est de toute façon en clair si je ne m'abuse)
[^] # Re: Données forgées pour
Posté par tatrefthekiller . Évalué à 3.
Arf oui, je raconte n'importe quoi.
Par contre pour la partie déchiffrement, la partie RCPT TO est effectivement chiffrée : http://en.wikipedia.org/wiki/SMTP-AUTH
Je ne voulais pas spécialement parler des mails, mon exemple était juste pour illustrer le fait de forger des données.
[^] # Re: Données forgées pour
Posté par oinkoink_daotter . Évalué à 3.
Oui, mais ici, tu confonds le chiffrement de mail au niveau utilisateur (S/MIME, PGP) et la crypto dans la tuyauterie SMTP qui est un niveau en dessous dans la pile protocolaire, et qui elle, n'est pas de bout en bout (uniquement entre toi et un serveur ou entre deux serveurs)
# Bug fix
Posté par mael . Évalué à 10.
En tout cas, ça a l'air assez sérieux pour que les développeurs de GnuPG publient un correctif.
[^] # Re: Bug fix
Posté par Olivier Esver (site web personnel) . Évalué à 10.
Pour les curieux qui comme moi se demandent ce qu'ils ont pu faire pour corriger le problème :
L'annonce :
http://lists.gnupg.org/pipermail/gnupg-devel/2013-December/028102.html
2 Commit :
http://git.gnupg.org/cgi-bin/gitweb.cgi?p=gnupg.git;a=commit;h=93a96e3c0c33370248f6570d8285c4e811d305d4
http://git.gnupg.org/cgi-bin/gitweb.cgi?p=gnupg.git;a=commit;h=d0d72d98f34579213230b3febfebd2fd8dff272b
S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.
# Smartphone
Posté par tuxicoman (site web personnel) . Évalué à -1.
Si on lit le papier détaillé, d'après ce que je comprends, ca marcherait avec leur micro THF mais pas avec celui d'un smartphone. C'est déja ça.
[^] # RTFA
Posté par Krunch (site web personnel) . Évalué à 5.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Je suis pas fou
Posté par MTux . Évalué à 2.
Donc je suis pas fou les composants électroniques font bien du bruit à l'utilisation :)
Quand je transfère à débit maximum en réseau (par exemple je récupère une ISO sur le serveur local) j'entends des petits sifflements. Mes collègues ne les entendent pas.
[^] # Re: Je suis pas fou
Posté par SlowBrain (site web personnel) . Évalué à 5.
J'ai un laptop qui fait très clairement du bruit fonction du trafic réseau sur la sortie casque de la carte son.
Les différents composants des ordinateurs créent énormément de perturbation, et en arrive a se perturber lui même. Rien d'étonnant qu'une carte son, qui est un élément sensible, se retrouve perturbé par d'autres composant.
Par contre, la conception des ordinateurs étant différente, les perturbation serons elle même différente. Mais d'un autre coté, en milieux pro, ou les machines sont commandées en série, et sont toute identique, il peu effectivement y avoir un risque.
[^] # Re: Je suis pas fou
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Attention, on peut souvent tirer des informations avec des deltas. C'est souvent bien plus précis qu'une référence absolue.
"La première sécurité est la liberté"
[^] # Re: Je suis pas fou
Posté par Kerro . Évalué à 3.
On a même souvent des bruits générés par des composants qui ne sont pas le générateur initial.
Par mon moniteur 27 pouces branché en DVI-D et sans hauts-parleurs qui émet un bruit lorsque la charge processeur est importante (aucune idée de la manière dont ça se produit).
Le cas le plus courant étant les hauts-parleurs qui transmettent soit les variations d'alimentation de l'ampli, soit les parasites arrivant directement sur le chemin audio.
[^] # Re: Je suis pas fou
Posté par Renault (site web personnel) . Évalué à 2.
Pour l'influence des cartes sons selon l'usage de la machine, cela peut venir des perturbations électromagnétiques du signal qui ajoute du bruit lors de la transmission à la carte son.
N'oublions pas aussi que l'électronique consomme de l'électricité qui par effet Joule chauffe ce qui entraine des perturbations au niveau de l'air en faisant bouger les molécules. Si cela est fait à une fréquence finalement audible, on obtient un son.
[^] # Re: Je suis pas fou
Posté par Zorro (site web personnel) . Évalué à 2.
RRrraa ouiii, j’en peux plus de ces parasites dans les haut-parleurs (des petits Altec) posés juste à côté de mon moniteur (écran plat Dell branché en DVI-D) à chaque fois que je bouge la souris, ou qu’une petite animation se passe à l’écran !!! Et ça le fait encore plus sous Windows que sous Linux, trop bizarre.
Sous Windows, même un petit GIF animé dans un coin de l’écran, avec rien qui bouge d’autre, suffit à générer des parasites. Je scrolle un peu pour faire disparaître le GIF, les parasites s’arrêtent. Je remets le GIF, ils reprennent !!! Du coup, j’éteins les haut-parleurs.
Étrangement, ça le fait pas quand je mets de la musique. Du coup, j’allume les haut-parleurs que quand je veux écouter de la zique, et tant pis pour les sons systèmes.
# eaulde
Posté par Krunch (site web personnel) . Évalué à 4.
Ça date de 2004 quand même. Les améliorations apportées à l'attaque entretemps sont résumées sur http://www.cs.tau.ac.il/~tromer/acoustic/#whatsnew
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# C'est quand même assez sérieux ...
Posté par snaguber . Évalué à 2.
pour être cosigné par Adi Shamir (c'est le Monsieur derrière le S de RSA) .
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.