Cette faille relève plus du social ingeneering que d'une vrai faille. Faut lire l'article pour comprendre
En résumé l'attaquant bidouille le message en y rajoutant des octets connus par lui. Il envoie le message au vrai destinataire. Si celui-ci répond à la personne qui lui envoie un message au contenu incompréhensible en incluant le message après déchiffré, alors l'attaquant pourra lire le message, du moins au maximum une partie.
En effet la taille originale du message ne pourra etre changée et il faut un octet ajouté pour lire un octet de texte. -> 2 fois pour lire le message en entier.
Attention l'article de yahoo parle de retrouver la clé privée. L'article de schneier n'en parle pas et je ne vois pas où c'est possible car les algos utilisés par PGP/GPG ont besoin d'énormes quantités de paires clair/chiffré pour pouvoir être cryptanalysé de manière à retrouver la clé utilisée pour chiffrer.
Donc à prendre avec des pincettes.
De toute façon il y a un risque pour la clé secrète alias la clé de session utilisée pour la partie de chiffrement symétrique et pas la clé privée utilisée pour le chiffrement asymétrique.
Petite erreur de traduction de la part de nos amis :)
[^] # Re: Une faille théorique dans le logiciel de chiffrement PGP
Posté par rouge_ . En réponse à la dépêche PGP renait de ses cendres. Évalué à 10.
En résumé l'attaquant bidouille le message en y rajoutant des octets connus par lui. Il envoie le message au vrai destinataire. Si celui-ci répond à la personne qui lui envoie un message au contenu incompréhensible en incluant le message après déchiffré, alors l'attaquant pourra lire le message, du moins au maximum une partie.
En effet la taille originale du message ne pourra etre changée et il faut un octet ajouté pour lire un octet de texte. -> 2 fois pour lire le message en entier.
Attention l'article de yahoo parle de retrouver la clé privée. L'article de schneier n'en parle pas et je ne vois pas où c'est possible car les algos utilisés par PGP/GPG ont besoin d'énormes quantités de paires clair/chiffré pour pouvoir être cryptanalysé de manière à retrouver la clé utilisée pour chiffrer.
Donc à prendre avec des pincettes.
De toute façon il y a un risque pour la clé secrète alias la clé de session utilisée pour la partie de chiffrement symétrique et pas la clé privée utilisée pour le chiffrement asymétrique.
Petite erreur de traduction de la part de nos amis :)