Rapport intéressant mais hélas trop ardu pour moi. Je me pose la question de savoir si certaines des vulnérabilités trouvées sont également valables pour la/les versions GNU/Linux ?
La trouvaille principale - « The most severe finding » - fait référence à une API Windows, donc pour celle-ci ce ne doit pas être le cas.
Les trois autres font référence à des choses plus obscures pour moi (traduction maison, pas taper !):
- le déchiffrement des en-têtes de volumes qui se base sur des tests d'intégrité impropres à détecter des effractions
- la méthode de mélange de l'entropie des fichiers-clefs qui ne serait [cryptographiquement] pas solide.
- plusieurs implémentations d'AES qui pourraient être vulnérables à des attaques de type « cache-timing »
Ces trois-là semblent, pour moi, se rapporter au fonctionnement même de Truecrypt et pas à l'OS dans lequel on l'exécute. Cependant je me figure que l'OS a son importance, sans parler de la manière dont l'application a été compilée ?
Y a-t-il quelqu'un dans la salle qui puisse jeter un peu de lumière sur ce rapport et ses éventuelles conséquences pour les amateurs d'OS à manchots ?
# Est pour la/les version Linux
Posté par Jean-François Huck . En réponse au journal Truecrypt 7.1a déclaré relativement sûr. Évalué à 3.
Warning - Questions de non-informaticien ahead
Rapport intéressant mais hélas trop ardu pour moi. Je me pose la question de savoir si certaines des vulnérabilités trouvées sont également valables pour la/les versions GNU/Linux ?
La trouvaille principale - « The most severe finding » - fait référence à une API Windows, donc pour celle-ci ce ne doit pas être le cas.
Les trois autres font référence à des choses plus obscures pour moi (traduction maison, pas taper !):
- le déchiffrement des en-têtes de volumes qui se base sur des tests d'intégrité impropres à détecter des effractions
- la méthode de mélange de l'entropie des fichiers-clefs qui ne serait [cryptographiquement] pas solide.
- plusieurs implémentations d'AES qui pourraient être vulnérables à des attaques de type « cache-timing »
Ces trois-là semblent, pour moi, se rapporter au fonctionnement même de Truecrypt et pas à l'OS dans lequel on l'exécute. Cependant je me figure que l'OS a son importance, sans parler de la manière dont l'application a été compilée ?
Y a-t-il quelqu'un dans la salle qui puisse jeter un peu de lumière sur ce rapport et ses éventuelles conséquences pour les amateurs d'OS à manchots ?
Ad hoc et ab hac