Le RDRAND d'Intel ne serait pas fiable pour les développeurs de FreeBSD
Qui veulent ajouter plus d'entropie à ses résultats

Le , par Cedric Chevalier, Expert éminent sénior
Cela fait pratiquement six mois qu’un ex-employé de la NSA a dévoilé au grand jour l’ampleur de l’espionnage américain par l’intermédiaire de son agence de sécurité nationale la NSA. Edward Snowden, un nom que beaucoup auront du mal à oublier, a marqué l’histoire.

Ses révélations n’ont pas laissé de marbre les développeurs du système d’exploitation FreeBSD. Au cours de l’EuroBSDCon 2013, le sommet de rassemblement des développeurs FreeBSD, des résolutions ont été prises pour renforcer la sécurité des futures versions de FreeBSD.

Les noms d’Intel et de VIA ont été cités au cours du sommet. Cependant ce n’était pas pour faire des éloges à ces grands constructeurs. Loin de là, ils sont soupçonnés d’avoir pactisé avec le gouvernement et inséré sciemment des faiblesses dans leurs puces matérielles respectives. La conséquence, c’est que les algorithmes respectifs qu’ils utilisent (RDRAND et Padlock) pour générer les nombres pseudo aléatoires (pierre angulaire des systèmes de sécurité) ne peuvent être fiables.

C’est ainsi que la décision a été prise à l’unisson de coupler aux RDRAND et Padlock un second élément qui viendrait ajouter davantage d’entropie aux nombres pseudo aléatoires qu’ils auront générés de façon à les rendre vraiment imprévisibles.

Les choix se sont portés vers Fortuna et Yarrow créés par l’expert en sécurité qu’on n’a plus besoin de présenter Bruce Schneier.

Par ailleurs, il a été aussi évoqué au cours du sommet, l’introduction dans FreeBSD 10 de mécanismes de protection, à savoir stackgap, ainsi que l’amélioration de la fonction mmap contre le dépassement de tampon (Buffer Overflow). Cependant ils seront désactivés par défaut.

Source : rapport de l'EuroBSDCon

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de htoukour htoukour - Membre du Club https://www.developpez.com
le 16/12/2013 à 9:24
On vera ce que ca va donner dans le futur, en tout c'est quelque chose de genial.
Offres d'emploi IT
Développeur perl h/f
Kobaltt - Aquitaine - Pau (64000)
Développeur Talend
GFP - Centre - Chartres (28000)
Lead developer PHP (H/F)
QOBUZ - Ile de France - PARIS

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil