Blog Stéphane Bortzmeyer: Qualité des clés cryptographiques
mercredi 10 juin 2015 à 12:14GuiGui's Show - Liens 10/06/2015
« Bref, chou blanc, pas de problème sensationnel noté pendant l'analyse des clés PGP.
Une autre étude a donné des résultats plus inquiétants. « Auditing GitHub users’ SSH key quality » est le récit d'un audit des clés SSH utilisés sur GitHub (dont j'ai découvert à cette occasion qu'elles sont publiques, voir par exemple les miennes en https://github.com/bortzmeyer.keys). L'auteur a pu faire des statistiques, par exemple sur le type de clés (nette domination de RSA, DSS loin derrière et les courbes elliptiques encore plus).
Mais il a aussi trouvé des choses plus inquiétantes comme des clés RSA de seulement 256 bits (!) Une telle clé se factorise en 25 minutes sur un vieux processeur. Plus étonnant, GitHub stocke encore plusieurs clés qui ont été générées par la bogue Debian. Et ces clés « protègent » (cela a été corrigé depuis) des dépôts logiciels importants comme les bibliothèques cryptographiques de Python (!).
C'est donc l'occasion de rappeler que la cryptographie ne fait pas de miracles : il ne suffit pas d'utiliser PGP ou SSH pour être en sécurité, il faut aussi s'assurer de la solidité des clés. Il faudrait vraiment que des programmeurs courageux développent un site Web où on pourrait soumettre ses clés privées (non, je rigole, ses clés publiques) SSH ou PGP et avoir des diagnostics, du genre « clé privée prévisible suite à la bogue Debian » ou bien « clé trop courte » ou encore « facteur premier déjà vu ». »
(Permalink)
« Bref, chou blanc, pas de problème sensationnel noté pendant l'analyse des clés PGP.
Une autre étude a donné des résultats plus inquiétants. « Auditing GitHub users’ SSH key quality » est le récit d'un audit des clés SSH utilisés sur GitHub (dont j'ai découvert à cette occasion qu'elles sont publiques, voir par exemple les miennes en https://github.com/bortzmeyer.keys). L'auteur a pu faire des statistiques, par exemple sur le type de clés (nette domination de RSA, DSS loin derrière et les courbes elliptiques encore plus).
Mais il a aussi trouvé des choses plus inquiétantes comme des clés RSA de seulement 256 bits (!) Une telle clé se factorise en 25 minutes sur un vieux processeur. Plus étonnant, GitHub stocke encore plusieurs clés qui ont été générées par la bogue Debian. Et ces clés « protègent » (cela a été corrigé depuis) des dépôts logiciels importants comme les bibliothèques cryptographiques de Python (!).
C'est donc l'occasion de rappeler que la cryptographie ne fait pas de miracles : il ne suffit pas d'utiliser PGP ou SSH pour être en sécurité, il faut aussi s'assurer de la solidité des clés. Il faudrait vraiment que des programmeurs courageux développent un site Web où on pourrait soumettre ses clés privées (non, je rigole, ses clés publiques) SSH ou PGP et avoir des diagnostics, du genre « clé privée prévisible suite à la bogue Debian » ou bien « clé trop courte » ou encore « facteur premier déjà vu ». »
(Permalink)