Une équipe de chercheurs Suisses de l’Ecole Polytechnique Fédérale de Lausanne (EPFL), dirigée par le professeur Arjen Lenstra, affirme avoir découvert qu’une partie des clés RSA publiques présenterait une faille, ce qui se traduirait par ce que l’on appelle une clé faible, à risque, présentant peu voire pas de sécurité.
La clé n’est pas cassée, l’algorithme reste fiable, ce que confirme RSA. En revanche, le système de génération des clés pourrait produire des doublons. Dans ces conditions, le message crypté par une clé privée pourrait être déchiffré par une clé publique qui ne lui serait pas destinée. Pour exploiter la faille – nous parlerons plutôt de faiblesse – il faut donc multiplier l’usage de clés publiques avant de tomber sur celle qui va pouvoir décrypter le fichier. Autant dire chercher une aiguille dans une botte de foin, ce qui réduit sensiblement la menace.
L’EPFL a testé un échantillon de 11,7 millions de clés RSA 1024 bits, et 99,8 % étaient fiables. 0,2 % des clés RSA ‘seulement’ seraient donc défectueuses. Pour Security Vibes, 4 % des 6,6 millions de certificats SSL et clés PGP basées sur RSA seraient concernés, et 1,1 % de manière répétée.
La découverte pose également la question du niveau d’entropie offert par les générateurs de nombres aléatoires. Ce que confirme RSA en la personne de Ari Juels, chief scientist, qui dans sa réponse pointe « les failles relatives aux protocoles de cryptage durant le processus de génération de nombres aléatoires ». Une façon de botter en touche en reportant la responsabilité sur les systèmes de génération des clés de chiffrement.
Crédit photo © RSA
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…