Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - GnuPG : détection de clé par tension de châssis

septembre 2014 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant, situé à proximité d’un ordinateur effectuant des
opérations RSA avec GnuPG sur des messages choisis, peut mesurer
le potentiel du châssis cet ordinateur, afin de déterminer une clé
RSA de 4096 bits.

Produits concernés : GnuPG, MBS, Ubuntu, Unix (plateforme)

Gravité : 1/4

Date création : 04/09/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme GnuPG utilise l’algorithme RSA pour ses opérations
cryptographiques. Naturellement, l’algorithme RSA est sensible à
des attaques par mesure de temps, car la durée de l’opération
mathématique dépend du message de l’utilisateur.

Pour se protéger, la technique RSA Blinding multiplie le message
par un aléa, avant d’effectuer l’opération RSA, puis de multiplier
le résultat par l’inverse de l’aléa. Cependant, GnuPG version 1
n’utilise pas de RSA Blinding.

La tension du châssis d’un ordinateur portable oscille d’une
dizaine de millivolts par rapport à la terre durant les opérations
du processeur. Un voltmètre connecté à l’autre extrémité d’un
câble réseau peut donc détecter ces variations, afin de déterminer
le type de l’opération de RSA.

Un attaquant, situé à proximité d’un ordinateur effectuant des
opérations RSA avec GnuPG sur des messages choisis, peut donc
mesurer le potentiel du châssis cet ordinateur, afin de déterminer
une clé RSA de 4096 bits.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/GnuPG-detection-de-cle-par-tension-de-chassis-15270


Voir les articles précédents

    

Voir les articles suivants