On Sun, 18 May 2008, Jean Baptiste FAVRE wrote: > Bonjour, > Oui, les clefs générées sous Debian avec une version vulnérable > d'OpenSSL sont à changer et ce quelque soit leur taille. > > Elles ne figurent pas dans la liste des clefs blacklistées car cette > liste ne contient que les clefs de 1024 et 2048 bits. > Au-délà, le temps de génération des 32 767 clefs possibles pour toutes > les tailles devient tout simplement prohibitif (et le paquet serait > aussi beaucoup plus gros ;-) ).
C'est faux. Le temps n'est pas prohibitif. Les clés de 4906 sont déjà disponibles en téléchargement, et celles de 8192 peuvent être générées en quelques jours avec quelques dizaines de serveurs. Elles ont sûrement été générées par les pirates (mais pas publiées). Vous n'êtes pas en sécurité avec une clé générée avec le mauvais OpenSSL quelque soit la taille. Et le paquet source openssh-blacklist ne génère pas les clés, il contient une liste pré-calculé d'empreintes des clés compromises, il y aura sûrement un paquet binaire openssh-blacklist-extra pour les tailles non-standard: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=481336 A+ -- Raphaël Hertzog Le best-seller français mis à jour pour Debian Etch : http://www.ouaza.com/livre/admin-debian/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
